操作场景

HA证书用于主备进程与高可用进程的通信过程中加密数据，实现安全通信。该任务指导系统管理员FusionInsight Manager完成主备管理节点的HA证书替换工作，以确保产品安全使用。适用于以下场景：

• 首次安装好集群以后，需要更换企业证书。
• 企业证书有效时间已过期或安全性加强，需要更换为新的证书。

说明：

不适用于未安装主备管理节点的场景。

证书文件和密钥文件可向企业证书管理员申请或由系统管理员生成。

对系统的影响

更换过程中FusionInsight Manager需要重启，此时系统无法访问且无法提供服务。

前提条件

• 获取需要更换的HA根证书文件“root-ca.crt”和密钥文件“root-ca.pem”。
• 准备一个访问密钥文件的密码password，例如“Userpwd@123”用于访问密钥文件。

  密码复杂度要求如下，如果密码复杂度不满足如下要求，可能存在安全风险：

  • 密码字符长度最小为8位。
  • 至少需要包含大写字母、小写字母、数字、特殊字符~`!?,.:;-_'(){}[]/<>@#$%^&*+|\=中的4种类型字符。
• 向证书管理员申请证书时，请提供访问密钥文件的密码并申请crt、cer、cert和pem格式证书文件，以及key和pem格式密钥文件。申请的证书需要有签发功能。
• 已确认主备管理节点IP。请参见登录管理节点。

操作步骤

• 使用PuTTY，以omm用户通过主管理节点IP登录主管理节点。
• 选择证书和密钥文件的生成方式：
  • 若由证书管理员生成，请在主备管理节点“${OMS_RUN_PATH}/workspace0/ha/local/cert”目录保存申请的证书文件与密钥文件。
    说明：

    若获取的证书文件格式不是“.crt”，密钥文件格式不是“.pem”，执行以下命令修改：

    mv 证书名称.证书格式 root-ca.crt

    mv 密钥名称.密钥格式 root-ca.pem

    例如，将证书文件命名为“root-ca.crt”，密钥文件命名为“root-ca.pem”：

    mv server.cer root-ca.crt

    mv server_key.key root-ca.pem

  • 若由系统管理员生成，执行以下命令在主管理节点“${OMS_RUN_PATH}/workspace0/ha/local/cert”目录生成“root-ca.crt”和“root-ca.pem”：

    sh ${OMS_RUN_PATH}/workspace/ha/module/hacom/script/gen-cert.sh --root-ca --country=CN --state=state --city=city --company=company --organize=organize --common-name=commonname --email=管理员邮箱

    说明：

    生成的证书文件有效期为10年，在系统证书文件即将过期时，系统将产生告警，可参考ALM-12055 证书文件即将过期进行处理。

    例如，执行以下命令：

    sh ${OMS_RUN_PATH}/workspace/ha/module/hacom/script/gen-cert.sh --root-ca --country=CN --state=guangdong --city=shenzhen --company=huawei --organize=IT --common-name=HADOOP.COM --email=abc@xxx.com

    根据提示信息输入password，并按回车键确认。

    Enter pass phrase for /opt/huawei/Bigdata/om-server/OMS/workspace/ha/local/cert/root-ca.pem:

    提示以下信息表示命令执行成功：

    Generate root-ca pair success.

• 在主管理节点以omm用户执行以下命令，复制“root-ca.crt”和“root-ca.pem”到“${BIGDATA_HOME}/om-server/om/security/certHA”目录。

  cp -arp ${OMS_RUN_PATH}/workspace0/ha/local/cert/root-ca.* ${BIGDATA_HOME}/om-server/om/security/certHA

• 使用omm用户将主管理节点生成的“root-ca.crt”和“root-ca.pem”复制到备管理节点“${BIGDATA_HOME}/om-server/om/security/certHA”目录。
• 执行以下命令，生成HA用户证书并自动替换。

  sh ${BIGDATA_HOME}/om-server/om/sbin/replacehaSSLCert.sh

  根据提示信息输入password，并按回车键确认。

  Please input ha ssl cert password:

  界面提示以下信息表示HA用户证书替换成功：

  [INFO] Succeed to replace ha ssl cert.

  说明：

  如果用户需要更新HA密码加密套件，可以带“-u”参数。

• 执行以下命令，重启OMS。

  sh ${BIGDATA_HOME}/om-server/om/sbin/restart-oms.sh

  界面提示以下信息：

  start HA successfully.

• 使用PuTTY，以omm用户通过备管理节点IP登录备管理节点，重复5～6。

  执行sh ${BIGDATA_HOME}/om-server/om/sbin/status-oms.sh，查看管理节点的“HAAllResOK”是否为“Normal”，并可以重新登录FusionInsight Manager表示操作成功。