Cuando se inicia QueryGrid Manager por primera vez, se crea una entidad de certificación. La entidad de certificación se utiliza para generar los certificados de servidor de QueryGrid Manager utilizados para proteger las comunicaciones. Cuando se agrega una instancia de QueryGrid Manager a un clúster, la nueva instancia hereda la entidad de certificación del clúster. Cada nodo de QueryGrid del clúster tiene una copia de esa entidad de certificación para comprobar que la comunicación sea con una instancia de confianza de QueryGrid Manager.
El vencimiento predeterminado de una entidad de certificación es de 100 años. Cuando QueryGrid detecta que una entidad de certificación está dentro de los 90 días de la fecha de vencimiento, se genera una alerta que se muestra en la vista Problemas del portlet QueryGrid de Viewpoint.
Para cambiar una fecha de vencimiento o rotar claves de entidad de certificación, todas las instancias de QueryGrid Manager, los nodos y los tejidos deben estar en línea y ejecutar la versión 02.13, o una versión posterior, de QueryGrid.
Utilice el siguiente comando para cambiar la fecha de vencimiento de la entidad de certificación o rotar las claves de entidad de certificación, según lo requieran las directrices de seguridad:
/opt/teradta/tdqgm/bin/rotate-cert.sh
Si se produce un error en el comando rotate-cert, la tarea se detiene y QueryGrid sigue funcionando.
- RSA: el tamaño de clave admitido es de más de 2048
- EC (ECDSA): las opciones de tamaño de clave admitidas son 256, 384 o 521
/opt/teradta/tdqgm/bin/rotate-cert.sh -r
Rotar claves de entidad de certificación
La ejecución del comando rotate-cert requiere varios reinicios de QueryGrid Manager y puede tardar un promedio de 5 minutos por instancia de QueryGrid Manager en el clúster. A continuación, se muestra un ejemplo de un comando rotate-cert correcto:
Starting rotate-cert command, just a moment... Checking Manager, Nodes, and Fabric versions for compatibility Generating new Certificate Authority certificate Enter validity period in days for Certificate Authority [365-40000]: 3650 Adding new Certificate Authority to Managers trust store (requires Manager restart) Restarting Manager on qgm1... Manager on qgm1 restarted successfully Restarting Manager on qgm2... Manager on qgm2 restarted successfully Verifying Managers trust new Certificate Authority Verifying Nodes trust new Certificate Authority Activating new Certificate Authority (requires Manager restart) Restarting Manager on qgm1... Manager on qgm1 restarted successfully Restarting Manager on qgm2... Manager on qgm2 restarted successfully Removing previous Certificate Authority (requires Manager restart) Restarting Manager on qgm1... Manager on qgm1 restarted successfully Restarting Manager on qgm2... Manager on qgm2 restarted successfully Verifying previous Certificate Authority is removed rotate-cert command successful. === Additional Information === - If not using a custom certificate for port 9443 then add the new CA public certificate to Viewpoint to enable the QueryGrid portlet to continue to work. - If using Automatic Deployment of QueryGrid on scalable clusters, tdqg-node.json will need to be regenerated so it contains the new certificate. - If operating Teradata SQLE in AWS, a new NFR image will need to be generated so it has the updated certificate.
- Si no usa un certificado personalizado para el puerto 9443, agregue el nuevo certificado público de la entidad de certificación a Viewpoint para permitir que el portlet QueryGrid continúe funcionando.
- Si utiliza la implementación automática de QueryGrid en clústeres escalables, vuelva a generar tdqg-node.json para agregar el nuevo certificado.
- Si opera Vantage Analytics Database en AWS o Google Cloud, genere una nueva imagen NFR para actualizar el certificado.
Cambiar el vencimiento del certificado de servidor
Los certificados de servidor predeterminados se generan automáticamente al iniciarse desde la entidad de certificación de todo el clúster de QueryGrid Manager. El vencimiento predeterminado de un certificado de servidor es de 2 años. Cuando QueryGrid detecta que un certificado de servidor está dentro de los 90 días de la fecha de vencimiento, se genera una alerta que se muestra en la vista Problemas del portlet Viewpoint de QueryGrid. Después de que vence un certificado de servidor, ya no se permite la comunicación con la instancia de QueryGrid Manager. Si se reinicia QueryGrid Manager, se genera un nuevo certificado.
El siguiente comando cambia la fecha de vencimiento del certificado de servidor:
/opt/teradata/tdqgm/rotate-cert.sh -s days
Este comando solo cambia el certificado de servidor para la instancia local de QueryGrid Manager y reinicia QueryGrid Manager para que surta efecto. Los certificados de servidor personalizados que se han instalado para el acceso a través del puerto 9443 no se ven afectados por este comando.
Cambiar el vencimiento del certificado de la Entidad de certificados raíz
La Entidad de certificados (CA) raíz predeterminada vence en 100 años. Su política de seguridad puede requerir una CA raíz que venza en un tiempo más corto.
/opt/teradata/tdqgm/rotate-cert.sh -c [days 365-40000]
Este comando cambia la fecha de vencimiento de la CA raíz para todas las instancias de QueryGrid Manager del clúster. Este comando también reinicia todas las instancias de QueryGrid Manager en el clúster. El clúster debe estar operativo durante el proceso para una alta disponibilidad continua.