Rotación de entidad de certificación - Teradata QueryGrid

QueryGrid™ Guía de instalación y uso- 3.06

Deployment
VantageCloud
VantageCore
Edition
Enterprise
IntelliFlex
Lake
VMware
Product
Teradata QueryGrid
Release Number
3.06
Published
Diciembre de 2024
ft:locale
es-ES
ft:lastEdition
2024-12-18
dita:mapPath
es-ES/ndp1726122159943.ditamap
dita:ditavalPath
ft:empty
dita:id
lxg1591800469257
Product Category
Analytical Ecosystem

Cuando se inicia QueryGrid Manager por primera vez, se crea una entidad de certificación. La entidad de certificación se utiliza para generar los certificados de servidor de QueryGrid Manager utilizados para proteger las comunicaciones. Cuando se agrega una instancia de QueryGrid Manager a un clúster, la nueva instancia hereda la entidad de certificación del clúster. Cada nodo de QueryGrid del clúster tiene una copia de esa entidad de certificación para comprobar que la comunicación sea con una instancia de confianza de QueryGrid Manager.

El vencimiento predeterminado de una entidad de certificación es de 100 años. Cuando QueryGrid detecta que una entidad de certificación está dentro de los 90 días de la fecha de vencimiento, se genera una alerta que se muestra en la vista Problemas del portlet QueryGrid de Viewpoint.

Para cambiar una fecha de vencimiento o rotar claves de entidad de certificación, todas las instancias de QueryGrid Manager, los nodos y los tejidos deben estar en línea y ejecutar la versión 02.13, o una versión posterior, de QueryGrid.

Utilice el siguiente comando para cambiar la fecha de vencimiento de la entidad de certificación o rotar las claves de entidad de certificación, según lo requieran las directrices de seguridad:

/opt/teradta/tdqgm/bin/rotate-cert.sh

Si se produce un error en el comando rotate-cert, la tarea se detiene y QueryGrid sigue funcionando.

QueryGrid admite los siguientes algoritmos de generación de claves:
  • RSA: el tamaño de clave admitido es de más de 2048
  • EC (ECDSA): las opciones de tamaño de clave admitidas son 256, 384 o 521
Use el comando -h para obtener ayuda.
Si se produce un error en el comando rotate-certs, volver a ejecutar la solicitud intenta reanudar el proceso desde el error anterior. Agregue el argumento reset (-r) para restablecer el certificado a su estado anterior e iniciar la tarea desde el principio:

/opt/teradta/tdqgm/bin/rotate-cert.sh -r

Rotar claves de entidad de certificación

La ejecución del comando rotate-cert requiere varios reinicios de QueryGrid Manager y puede tardar un promedio de 5 minutos por instancia de QueryGrid Manager en el clúster. A continuación, se muestra un ejemplo de un comando rotate-cert correcto:

[tdqgm@qgm1 ~]# /opt/teradata/tdqgm/bin/rotate-cert.sh
Starting rotate-cert command, just a moment...
Checking Manager, Nodes, and Fabric versions for compatibility
Generating new Certificate Authority certificate
Enter validity period in days for Certificate Authority [365-40000]: 3650
Adding new Certificate Authority to Managers trust store (requires Manager restart)
Restarting Manager on qgm1...
Manager on qgm1 restarted successfully
Restarting Manager on qgm2...
Manager on qgm2 restarted successfully
Verifying Managers trust new Certificate Authority
Verifying Nodes trust new Certificate Authority
Activating new Certificate Authority (requires Manager restart)
Restarting Manager on qgm1...
Manager on qgm1 restarted successfully
Restarting Manager on qgm2...
Manager on qgm2 restarted successfully
Removing previous Certificate Authority (requires Manager restart)
Restarting Manager on qgm1...
Manager on qgm1 restarted successfully
Restarting Manager on qgm2...
Manager on qgm2 restarted successfully
Verifying previous Certificate Authority is removed
 
 
rotate-cert command successful.
 
 
=== Additional Information ===
- If not using a custom certificate for port 9443 then add the new CA public certificate to Viewpoint to enable the QueryGrid portlet to continue to work.
- If using Automatic Deployment of QueryGrid on scalable clusters, tdqg-node.json will need to be regenerated so it contains the new certificate.
- If operating Teradata SQLE in AWS, a new NFR image will need to be generated so it has the updated certificate.
Es posible que sean necesarias tareas adicionales después de la rotación en función de determinados criterios:
  • Si no usa un certificado personalizado para el puerto 9443, agregue el nuevo certificado público de la entidad de certificación a Viewpoint para permitir que el portlet QueryGrid continúe funcionando.
  • Si utiliza la implementación automática de QueryGrid en clústeres escalables, vuelva a generar tdqg-node.json para agregar el nuevo certificado.
  • Si opera Vantage Analytics Database en AWS o Google Cloud, genere una nueva imagen NFR para actualizar el certificado.

Cambiar el vencimiento del certificado de servidor

Los certificados de servidor predeterminados se generan automáticamente al iniciarse desde la entidad de certificación de todo el clúster de QueryGrid Manager. El vencimiento predeterminado de un certificado de servidor es de 2 años. Cuando QueryGrid detecta que un certificado de servidor está dentro de los 90 días de la fecha de vencimiento, se genera una alerta que se muestra en la vista Problemas del portlet Viewpoint de QueryGrid. Después de que vence un certificado de servidor, ya no se permite la comunicación con la instancia de QueryGrid Manager. Si se reinicia QueryGrid Manager, se genera un nuevo certificado.

El siguiente comando cambia la fecha de vencimiento del certificado de servidor:

/opt/teradata/tdqgm/rotate-cert.sh -s days

Este comando solo cambia el certificado de servidor para la instancia local de QueryGrid Manager y reinicia QueryGrid Manager para que surta efecto. Los certificados de servidor personalizados que se han instalado para el acceso a través del puerto 9443 no se ven afectados por este comando.

Cambiar el vencimiento del certificado de la Entidad de certificados raíz

La Entidad de certificados (CA) raíz predeterminada vence en 100 años. Su política de seguridad puede requerir una CA raíz que venza en un tiempo más corto.

El siguiente comando cambia la fecha de vencimiento de la CA raíz:
/opt/teradata/tdqgm/rotate-cert.sh -c [days 365-40000]

Este comando cambia la fecha de vencimiento de la CA raíz para todas las instancias de QueryGrid Manager del clúster. Este comando también reinicia todas las instancias de QueryGrid Manager en el clúster. El clúster debe estar operativo durante el proceso para una alta disponibilidad continua.