更新eSight与浏览器通信的证书(命令行方式) |
您所在的位置:网站首页 › linux命令行安装谷歌浏览器 › 更新eSight与浏览器通信的证书(命令行方式) |
|
系统与外部环境通信时需通过ER证书进行认证,例如浏览器通过ER证书对eSight管理面或eSight运维面的身份进行认证。系统支持导入多个不同域名的ER证书,避免通信认证时浏览器提示证书不可信,需上传并更新eSight管理面或eSight运维面的域名ER证书,优先采用带域名的ER证书来进行认证。避免系统功能不可用和保障系统的安全性,请定期查看是否存在证书即将过期告警,并及时更新证书。如果存在证书已经过期告警,请立即更新证书。私钥泄露或信任的CA已更新吊销列表时,请及时更新证书和吊销列表。 前提条件已获取管理节点sopuser和ossadm用户的密码。已向证书颁发机构申请并获取新证书及其相关证书文件,和身份证书私钥密码。证书要求如表6-57所示。 表6-57 证书要求参数项 要求 证书签名算法 使用业界高强度的安全算法,如sha256WithRSAEncryption或SM2等。 密钥长度 对于RSA加密算法,建议长度为3072bits及以上。对于ECDSA加密算法,密钥长度支持256或384。SM系列商密算法场景下,长度为256bits。 说明:RSA(2048位以下)和ECDSA(256位以下)为不安全的加密算法,为了确保系统通信安全,请使用RSA(3072位及以上)或ECDSA(256位及以上)加密算法生成的ER证书的私钥。 证书有效期 请根据客户IT安全管理的要求设置。 证书扩展属性 必须有“X509v3 Subject Alternative Name”属性,值为IP地址或者域名。如果eSight管理面或者eSight运维面客户端采用IP地址方式访问,则该值为IP地址。当使用浮动IP地址的部署方案,则该值为浮动IP地址;当使用域名方式访问,则该值为域名。 支持证书格式 支持“.cer”格式,CER格式的证书需要是Base64编码。server.cer:eSight的身份证书,eSight提供给对端系统验证身份合法性的证书文件。server_key.pem:身份证书对应的私钥,配套密码一起使用。trust.cer:签发身份证书的CA的证书,包含受信任的根证书和中级证书,根证书要放在最后。 说明: 若使用本地CA申请证书,下载CA证书链具体操作可参见•下载CA证书链。若获取的证书为“.pem”格式,则直接重命名为对应的证书文件名称,例如将信任证书“xxx.pem”重命名为“trust.cer”。若获取的证书为“.crt”格式,可参考转换证书格式将证书转换为“.cer”格式。公用名(CN) 证书主体通用名,建议包含可唯一标识产品的编码或非易变的产品信息,更新域名ER证书时需为域名。 公用名必须满足规划的复杂度要求,规则如下: 必须是1-128个字符长;只能包含数字、小写字母、大写字母、点或中划线(-)组成且不能以点开头或结尾;不能包含连续的点字符 。 操作须知更新eSight管理面的ER证书时会自动重启MCHIROERService服务,更新eSight运维面的ER证书时会自动重启HIROERService,从而使得证书生效,重启服务期间eSight管理面或eSight运维面将无法登录,建议在业务空闲期执行本节操作。请勿修改证书存放目录“/opt/oss/manager/etc/ssl/er”和“/opt/oss/eSight/etc/ssl/er”下的任何文件内容和文件权限,否则将导致eSight管理面或产品升级回退失败等。系统将自动随机化新证书的密码,无需用户手工修改新证书的密码。更新eSight管理面的域名ER证书完成后会导致eSight管理面的应用程序和数据、管理节点操作系统的历史备份数据失效,系统会自动创建这些数据的定时备份任务。备份数据会占用系统资源,若定时备份任务时间段业务繁忙,请根据业务需要在eSight管理面主菜单中选择“备份与恢复 > 配置 > 配置定时备份任务”修改相应定时备份任务的时间。 更新eSight运维面的ER证书完成后会导致产品节点操作系统、产品应用程序和产品数据的历史备份数据失效,从而使更新证书之前的备份文件不可用,证书更新成功后请及时备份数据。系统会自动创建这些数据的定时备份任务。 备份数据会占用系统资源,若定时备份任务时间段业务繁忙,请根据业务需要在eSight管理面主菜单中选择“备份与恢复 > 配置 > 配置定时备份任务”修改相应定时备份任务的时间。 查看证书有效期,具体可参见查看eSight管理面证书有效期。 操作步骤使用PuTTY工具以sopuser用户通过SSH方式登录管理节点,具体操作请参见使用PuTTY登录服务器。 请勿使用管理节点的浮动IP地址登录节点,使用固定IP地址登录,否则将导致PuTTY工具连接会中断,从而更新证书失败。证书更新过程中需重启服务,期间PuTTY工具长时间无任何操作可能会超时断连导致更新证书失败,请设置PuTTY工具的超时时间,具体操作请参见如何防止PuTTY工具超时断连。 执行以下命令,创建新证书的临时上传目录并修改其权限,例如“/tmp/er_dns1”。> mkdir /tmp/er_dns1 > chmod 750 /tmp/er_dns1 使用FileZilla工具以sopuser用户通过SFTP方式将ER证书上传至1中的节点“/tmp/er_dns1”目录,具体操作请参见使用FileZilla传输文件。使用PuTTY工具以sopuser用户,执行以下命令,修改证书文件的权限。> chmod 640 /tmp/er_dns1/* 执行以下命令,切换至ossadm用户,创建已获取新证书的存放目录和修改其权限。> su - ossadm Password:ossadm用户的密码> mkdir /tmp/er_dns > chmod -R 750 /tmp/er_dns 执行以下命令,将证书文件复制至“/tmp/er_dns”,并设置新证书的权限。> cp /tmp/er_dns1/* /tmp/er_dns > chmod 700 /tmp/er_dns > find /tmp/er_dns -type f | xargs chmod 600 执行以下命令,更新ER证书。> cd /opt/oss/manager/apps/UniEPService/tools/common > bash updatecertificate.sh -certtype er -certpath /tmp/er_dns -type dns_er 如果eSight管理面的部署模式是单机模式,且管理节点和产品节点为同一个节点,“UniEPService”需替换为“UniEPLiteService”。 系统回显如下类似信息: Replacing the er certificates...please waiting. 1.management 2. Please select the number of the product information: 根据实际场景输入对应的序号,按“Enter”。输入“1”表示更新的eSight管理面域名ER证书。输入“2”表示更新对应产品的域名ER证书。系统回显如下信息: Replacing the certificates will interrupt services. Are you sure you want to continue? (y/n) 输入“y”,按“Enter”。系统回显如下信息,输入已获取的新证书的身份证书私钥密码。 Please input the old password of new certificate: Password: 系统将更新ER证书并自动重启eSight管理面的ER相关服务。若系统回显如下信息,表示ER证书更新完成,执行7.c。Certificates replaced successfully. 若系统回显其他信息,表示ER证书更新失败,请恢复更新失败的ER证书,具体操作请参见回退更新失败的ER证书,然后联系华为技术支持工程师定位并处理问题。 执行以下命令,退出至sopuser用户。> exit 登录eSight管理面界面,若能登录成功则表示证书更新成功,否则请联系华为技术支持工程师。删除临时文件。使用PuTTY工具以sopuser用户通过SSH方式登录管理节点。执行以下命令,删除临时目录下的文件。> cd /tmp > rm -rf er_dns1 执行以下命令,切换至ossadm用户。> su - ossadm Password:ossadm用户的密码 执行以下命令,删除临时目录下的文件。> cd /tmp > rm -rf er_dns/* 执行以下命令,退出至sopuser用户。> exit eSight管理面的域名ER证书更新成功后,请备份eSight管理面的以下数据:eSight管理面的应用程序和数据,具体操作请参见备份eSight管理面的应用程序和数据。管理节点操作系统,具体操作请参见备份管理节点操作系统。 eSight运维面的ER域名证书更新成功后,请备份产品的以下数据:产品节点操作系统,具体操作请参见备份管理节点操作系统。产品应用程序,具体操作请参见备份产品应用程序。产品数据,具体操作请参见备份产品数据。调测阶段时,建议完成所有的调测任务后,再统一备份eSight管理面和产品。 若登录eSight管理面时,Web浏览器提示类似“您的连接并不安全”,您需将服务器证书添加至浏览器的证书中,具体操作请参见设置浏览器信任证书。 相关任务删除eSight管理面或eSight运维面的域名ER证书: 使用PuTTY工具以sopuser用户通过SSH方式登录主管理节点。 若删除eSight管理面的域名ER证书需登录所有管理节点执行以下操作,此处以主管理节点为例。若删除eSight运维面的域名ER证书需登录所有产品节点执行以下操作。 执行以下命令,切换至ossadm用户。> su - ossadm Password:ossadm用户的密码 执行以下命令,删除eSight管理面或eSight运维面的域名ER证书。> cd /opt/oss//etc/ssl/dns_er > rm -rf dns_1 查询产品名称具体操作请参见查询产品名称。“dns_1”为域名ER证书存放目录下对应的待删除的目录名称,此处以“dns_1”为例。 查看目录中“dns_1”文件夹是否存在。> ll //opt/oss//etc/ssl/dns_er 是,表示删除失败,请联系华为技术支持工程师。否,表示删除成功,则执行5。 删除成功后,重启域名ER证书相关的服务。删除eSight管理面的域名ER证书,执行以下命令:> source /opt/oss/manager/bin/engr_profile.sh > ipmc_adm -cmd restartapp -app MCHIROERService -tenant manager 系统回显如下信息,表示重启成功,否则请联系华为技术支持工程师。 Stopping process mchiroer-0-0 ... success Starting process mchiroer-0-0 ... success 删除eSight运维面的域名ER证书,执行以下命令:> source /opt/oss/manager/bin/engr_profile.sh > ipmc_adm -cmd restartapp -app HIROERService -tenant ;ipmc_adm -cmd restartapp -app HIROBERService -tenant 系统回显如下信息,表示重启成功,否则请联系华为技术支持工程师。 Stopping process hiroer-0-0 ... success Starting process hiroer-0-0 ... success Stopping process hirober-0-0 ... success Starting process hirober-0-0 ... success 下载CA证书链 在eSight运维面主菜单中选择“系统管理 > 证书管理 > CA服务”。在左侧导航树中选择“PKI管理 > CA管理”。在“CA管理”界面中单击子CA名称,选择“关联证书”页签,勾选所有证书,单击右上角的“下载”,可将.pem格式的CA证书链下载到本地。 后续处理若登录eSight管理面时,Web浏览器提示类似“您的连接并不安全”执行以下步骤: 单击“导出信任链”,可导出包含根证书和中级证书的服务器端证书信任链,所导出的文件需拆分为根证书和中级证书两个后缀名为.cer的证书文件。将ER证书的信任证书添加至浏览器的证书中,具体操作请参见设置浏览器信任证书。 |
| CopyRight 2018-2019 办公设备维修网 版权所有 豫ICP备15022753号-3 |