2.15 - 证书颁发机构轮换 - Teradata QueryGrid

Teradata® QueryGrid™ 安装和用户指南

Product
Teradata QueryGrid
Release Number
2.15
Release Date
2021 年 3 月
Content Type
安装
用户指南
管理
配置
Publication ID
B035-5991-031K-CHS
Language
中文 (简体)

首次启动 QueryGrid 管理器时,将创建证书颁发机构。证书颁发机构可生成用于保护通信的 QueryGrid 管理器服务器证书。将 QueryGrid 管理器实例添加到集群时,新实例将继承所加入的集群的证书颁发机构。集群中的每个 QueryGrid 节点都有该证书颁发机构的副本,以验证它们是否正在与可信的 QueryGrid 管理器实例通信。

证书颁发机构的有效期缺省为 100 年。当 QueryGrid 检测到证书颁发机构的有效期仅剩下不到 90 天时,它会生成一个预警,显示在 Viewpoint QueryGrid 组件的问题视图中。

要更改到期日期或轮换证书颁发机构密钥,所有 QueryGrid 管理器、节点和网络结构都必须联机并运行 QueryGrid 02.13 或更高版本。

使用以下命令,按照安全准则的要求更改证书颁发机构的到期日期或轮换证书颁发机构密钥:

/opt/teradta/tdqgm/bin/rotate-cert.sh

如果 rotate-cert 命令失败,任务将停止,QueryGrid 仍将正常工作。
如果 rotate-certs 命令失败,则重新运行请求将尝试从上一个错误中恢复进程。添加重置参数 (-r) 以将证书重置为先前的状态,并从头开始执行任务:

/opt/teradta/tdqgm/bin/rotate-cert.sh -r

轮换证书颁发机构密钥

运行 rotate-cert 命令需要多次重新启动 QueryGrid 管理器,集群中每个 QueryGrid 管理器实例平均需要 5 分钟的时间。以下是成功 rotate-cert 命令的示例:

[tdqgm@qgm1 ~]# /opt/teradata/tdqgm/bin/rotate-cert.sh
Starting rotate-cert command, just a moment...
Checking Manager, Nodes, and Fabric versions for compatibility
Generating new Certificate Authority certificate
Enter validity period in days for Certificate Authority [365-40000]: 3650
Adding new Certificate Authority to Managers trust store (requires Manager restart)
Restarting Manager on qgm1...
Manager on qgm1 restarted successfully
Restarting Manager on qgm2...
Manager on qgm2 restarted successfully
Verifying Managers trust new Certificate Authority
Verifying Nodes trust new Certificate Authority
Activating new Certificate Authority (requires Manager restart)
Restarting Manager on qgm1...
Manager on qgm1 restarted successfully
Restarting Manager on qgm2...
Manager on qgm2 restarted successfully
Removing previous Certificate Authority (requires Manager restart)
Restarting Manager on qgm1...
Manager on qgm1 restarted successfully
Restarting Manager on qgm2...
Manager on qgm2 restarted successfully
Verifying previous Certificate Authority is removed
 
 
rotate-cert command successful.
 
 
=== Additional Information ===
- If not using a custom certificate for port 9443 then add the new CA public certificate to Viewpoint to enable the QueryGrid portlet to continue to work.
- If using Automatic Deployment of QueryGrid on scalable clusters, tdqg-node.json will need to be regenerated so it contains the new certificate.
- If operating Teradata SQLE in AWS, a new NFR image will need to be generated so it has the updated certificate.
根据某些条件,轮换后可能需要执行其他任务:
  • 如果未对端口 9443 使用自定义证书,请将新的证书颁发机构公共证书添加到 Viewpoint 以使 QueryGrid 组件继续工作。
  • 如果在可扩展集群上使用 QueryGrid 自动部署,请重新生成 tdqg-node.json 以添加新证书。
  • 如果在 AWS 或 Google Cloud 中操作 Vantage SQL 引擎,请生成新的 NFR 映像以更新证书。

更改服务器证书到期日期

QueryGrid 管理器集群范围证书颁发机构启动时会自动生成缺省服务器证书。服务器证书的有效期缺省为 2 年。当 QueryGrid 检测到服务器证书的有效期仅剩下不到 90 天时,它会生成一个预警,显示在 Viewpoint QueryGrid 组件的问题视图中。服务器证书过期后,将不再允许 QueryGrid 管理器实例与服务器通信。请重新启动 QueryGrid 管理器以生成新证书。

可以使用以下命令更改服务器证书的到期日期:

/opt/teradata/tdqgm/rotate-cert.sh -s days

此命令仅更改本地 QueryGrid 管理器的服务器证书并重新启动 QueryGrid 管理器以使更改生效。已安装的用于通过端口 9443 进行访问的任何自定义服务器证书都不受此命令的影响。