由 QueryGrid 管理器 REST API 接口生成的服务器证书是在内部生成的,未经可信证书颁发机构签名。您可以安装由可信证书颁发机构签名的自定义服务器证书,以便在访问 REST API 时创建一个安全的环境。
安装自定义证书需满足如下要求:
- 此证书必须采用 PKCS12 或 JKS 密钥库格式。
- 可以使用 Java 密钥工具生成证书或将证书导入为 JKS 密钥库格式
- 使用 OpenSSL 生成证书或将证书导出为 PKCS12 格式
- Subject Alternative Names 必须包括 Viewpoint 或其他 REST API 客户端用于访问 QueryGrid 管理器的主机名和 IP 地址。
此地址包括可在 Viewpoint QueryGrid 组件中查看的 QueryGrid 管理器公共地址。
- 生成证书并将其转换为正确的格式(PKCS12 或 JKS)。
- 将此证书复制到选定的 QueryGrid 管理器,以便安装在 tdqgm 用户可访问的位置。
- 登录到 QueryGrid 管理器 shell。
- 通过键入以下内容设置工作目录:cd /opt/teradata/tdqgm/bin
- 以 root 或 tdqgm 用户身份运行 ./set-cert.sh certfile 命令,其中 certfile 是自定义 JKS 或 PKCS12 密钥库证书的位置。
- 根据提示提供其他信息(如密钥库密码、密钥密码或证书别名)。
- 在提示符处,确认继续并等待 QueryGrid 管理器成功重新启动。tdqgm1:/opt/teradata/tdqgm/bin # ./set-cert.sh mycert
Starting set-cert command, just a moment... Enter the key store password: ******** Using certificate "custom". A restart of QueryGrid Manager is required to use the new certificate. Are you sure you want to install a custom certificate for port 9443? [y/n]: y Stopping QueryGrid Manager... Starting QueryGrid Manager... QueryGrid Manager started successfully. Use a browser to connect to https://sdlc6925.labs.teradata.com:9443/ and verify the certificate is working. To unset the certificate you can use the "set-cert.sh -u" command set-cert command successful.
- 重新启动后,可能需要将 Viewpoint 配置为信任新证书。如果 JKS 或 PKCS12 密钥库不包含完整的证书链,则必须使用拥有 PEM 或 DER 编码证书的文件选项添加 CA 证书。
- [可选] 卸载自定义证书并恢复为缺省证书:./set-cert.sh -u