替换证书
替换证书(Ascend EP场景)
前提条件
在替换证书前,需要先将向第三方机构申请证书(商用)中获取的密钥、证书文件重命名,重命名前后的对应关系如下表所示。
重命名前 |
重命名后 |
---|---|
server.key |
ide_daemon_server_key.pem |
server.crt |
ide_daemon_server_cert.pem |
client.key |
ide_daemon_client_key.pem |
client.crt |
ide_daemon_client_cert.pem |
ca.crt |
ide_daemon_cacert.pem |
操作步骤
替换证书前,建议您先备份旧证书、密钥,替换证书成功后,再删除备份文件。
- 生成字符串加密文件ide_daemon.secu和ide_daemon.store的可读文件*.secu、*.store。
- 参见准备环境(Ascend EP场景)完成环境配置。
- 以运行用户登录安装Toolkit组件的服务器。
下文以HwHiAiUser用户为Toolkit组件的运行用户为例,如果在安装Toolkit组件时指定了其它的运行用户,则需替换为实际的运行用户。
- 执行命令,在当前目录下生成字符串加密文件ide_daemon.secu和ide_daemon.store。
需确保执行命令的目录,HwHiAiUser用户有写权限。
商用时,根据系统提示输入密码,按实际需求设置密码。adc --key
- 执行以下命令,分别生成ide_daemon.secu、ide_daemon.store文件的可读文件*.secu、*.store。
openssl base64 -out secu -in ide_daemon.secu openssl base64 -out store -in ide_daemon.store
- 替换Host上的密钥、证书。
- ~表示ada进程运行用户的家目录。
- 可以使用ps -ef | grep ada命令查看ada进程的运行用户,在替换证书、重启ada进程时,需要使用同一个用户。
- 以ada进程运行用户(默认HwHiAiUser用户)将前提条件中重命名后的ide_daemon_server_key.pem、ide_daemon_server_cert.pem、ide_daemon_cacert.pem文件替换到“~/ide_daemon”目录下。
- 以ada进程运行用户(默认HwHiAiUser用户)登录Host。
- 切换到“~/ide_daemon”目录下,打开ide_daemon.cfg文件,将“SECU”参数值修改为1中生成的secu文件中的内容,将“STORE”参数值修改为1中生成的store文件中的内容,保存ide_daemon.cfg文件。
您需要将secu文件中的多行字符串合并成一行,再将合并后的字符串设置到“SECU”参数处;将store文件中的多行字符串合并成一行,再将合并后的字符串设置到“STORE”参数处。
- 执行如下命令验证证书是否有效。
openssl verify -CAfile ide_daemon_cacert.pem ide_daemon_server_cert.pem
- 重启ada进程,,使新证书生效。重启ada进程,请参见如何重启ada进程。
- 替换安装Toolkit组件的服务器上的密钥、证书。
- 以HwHiAiUser用户(Toolkit组件的运行用户)将前提条件中的ide_daemon_client_key.pem、ide_daemon_client_cert.pem、ide_daemon_cacert.pem文件替换到“/home/HwHiAiUser/Ascend/ascend-toolkit/latest/toolkit/tools/ide_daemon/conf”目录下。
- 以运行用户登录安装Toolkit组件的服务器。
- 切换到/home/HwHiAiUser/Ascend/ascend-toolkit/latest/toolkit/tools/ide_daemon/conf目录下,打开ide_daemon.cfg文件,将“SECU”参数值修改为1中生成的secu文件中的内容,将“STORE”参数值修改为1中生成的store文件中的内容,保存ide_daemon.cfg文件。
您需要将secu文件中的多行字符串合并成一行,再将合并后的字符串设置到“SECU”参数处;将store文件中的多行字符串合并成一行,再将合并后的字符串设置到“STORE”参数处。
- 执行如下命令验证证书是否有效。
openssl verify -CAfile ide_daemon_cacert.pem ide_daemon_client_cert.pem
替换证书(Ascend RC场景)
前提条件
在替换证书前,需要先将向第三方机构申请证书(商用)中获取的密钥、证书文件重命名,重命名前后的对应关系如下表所示。
重命名前 |
重命名后 |
---|---|
server.key |
ide_daemon_server_key.pem |
server.crt |
ide_daemon_server_cert.pem |
client.key |
ide_daemon_client_key.pem |
client.crt |
ide_daemon_client_cert.pem |
ca.crt |
ide_daemon_cacert.pem |
操作步骤
替换证书前,建议您先备份旧证书、密钥,替换证书成功后,再删除备份文件。
- 生成字符串加密文件ide_daemon.secu和ide_daemon.store的可读文件*.secu、*.store。
- 以HwHiAiUser用户登录开发者板。
- 执行命令,在当前目录下生成字符串加密文件ide_daemon.secu和ide_daemon.store。
需确保执行命令的目录,HwHiAiUser用户有写权限。
商用时,根据系统提示输入密码,按实际需求设置密码。./adc --key
- 执行以下命令,分别生成ide_daemon.secu、ide_daemon.store文件的可读文件*.secu、*.store。
openssl base64 -out secu -in ide_daemon.secu openssl base64 -out store -in ide_daemon.store
- 替换开发者板上的密钥、证书。
- ~表示ada进程运行用户的家目录。
- 可以使用ps -ef | grep ada命令查看ada进程的运行用户,在替换证书、重启ada进程时,需要使用同一个用户。
- 以HwHiAiUser用户将前提条件中重命名后的文件同时替换到“~/ide_daemon”和“/var”目录下。
- 以HwHiAiUser用户用户登录开发者板。
- 切换到“~/ide_daemon”目录下,打开ide_daemon.cfg文件,将“SECU”参数值修改为1中生成的*.secu文件中的内容,将“STORE”参数值修改为1中生成的*.store文件中的内容,保存ide_daemon.cfg文件。
您需要将secu文件中的多行字符串合并成一行,再将合并后的字符串设置到“SECU”参数处;将store文件中的多行字符串合并成一行,再将合并后的字符串设置到“STORE”参数处。
- 执行如下命令验证证书是否有效。
openssl verify -CAfile ide_daemon_cacert.pem ide_daemon_client_cert.pem openssl verify -CAfile ide_daemon_cacert.pem ide_daemon_server_cert.pem
- 切换到“/var”目录下,打开ide_daemon.cfg文件,将“SECU”参数值修改为1中生成的*.secu文件中的内容,将“STORE”参数值修改为1中生成的*.store文件中的内容,保存ide_daemon.cfg文件。
您需要将secu文件中的多行字符串合并成一行,再将合并后的字符串设置到“SECU”参数处;将store文件中的多行字符串合并成一行,再将合并后的字符串设置到“STORE”参数处。
- 执行如下命令验证证书是否有效。
openssl verify -CAfile ide_daemon_cacert.pem ide_daemon_client_cert.pem openssl verify -CAfile ide_daemon_cacert.pem ide_daemon_server_cert.pem
- 重启ada进程,,使新证书生效。重启ada进程,请参见如何重启ada进程。
- (如果安装了Toolkit组件,则执行该步骤,否则,跳过)替换安装Toolkit组件的服务器上的密钥、证书。
- 以HwHiAiUser用户(Toolkit组件的运行用户)将前提条件中的ide_daemon_client_key.pem、ide_daemon_client_cert.pem、ide_daemon_cacert.pem文件替换到“/home/HwHiAiUser/Ascend/ascend-toolkit/latest/toolkit/tools/ide_daemon/conf”目录下。
- 以运行用户登录安装Toolkit组件的服务器。
- 切换到/home/HwHiAiUser/Ascend/ascend-toolkit/latest/toolkit/tools/ide_daemon/conf目录下,打开ide_daemon.cfg文件,将“SECU”参数值修改为1中生成的secu文件中的内容,将“STORE”参数值修改为1中生成的store文件中的内容,保存ide_daemon.cfg文件。
您需要将secu文件中的多行字符串合并成一行,再将合并后的字符串设置到“SECU”参数处;将store文件中的多行字符串合并成一行,再将合并后的字符串设置到“STORE”参数处。
- 执行如下命令验证证书是否有效。
openssl verify -CAfile ide_daemon_cacert.pem ide_daemon_client_cert.pem