2.15 - Rotación de entidad de certificación - Teradata QueryGrid

Teradata® QueryGrid™ Guía de instalación y uso

Product
Teradata QueryGrid
Release Number
2.15
Release Date
Marzo de 2021
Content Type
Administración
Configuración
Guía del usuario
Instalación
Publication ID
B035-5991-031K-ESN
Language
Español (España)

Cuando se inicia QueryGrid Manager por primera vez, se crea una entidad de certificación. La entidad de certificación se utiliza para generar los certificados de servidor de QueryGrid Manager utilizados para proteger las comunicaciones. Cuando se agrega una instancia de QueryGrid Manager a un clúster, la nueva instancia hereda la entidad de certificación del clúster al que se está uniendo. Cada nodo de QueryGrid del clúster tiene una copia de esa entidad de certificación para comprobar que se estén comunicando con una instancia de confianza de QueryGrid Manager.

El vencimiento predeterminado de una entidad de certificación es de 100 años. Cuando QueryGrid detecta que una entidad de certificación está dentro de los 90 días de la fecha de vencimiento, genera una alerta que se muestra en la vista Problemas del portlet QueryGrid de Viewpoint.

Para cambiar una fecha de vencimiento o rotar claves de entidad de certificación, todas las instancias de QueryGrid Manager, los nodos y los tejidos deben estar en línea y ejecutar la versión 02.13, o una versión posterior, de QueryGrid.

Utilice el siguiente comando para cambiar la fecha de vencimiento de la entidad de certificación o rotar las claves de entidad de certificación, según lo requieran las directrices de seguridad:

/opt/teradta/tdqgm/bin/rotate-cert.sh

Si se produce un error en el comando rotate-cert, la tarea se detiene y QueryGrid sigue funcionando.
Si se produce un error en el comando rotate-certs, volver a ejecutar la solicitud intenta reanudar el proceso desde el error anterior. Agregue el argumento reset (-r) para restablecer el certificado a su estado anterior e iniciar la tarea desde el principio:

/opt/teradta/tdqgm/bin/rotate-cert.sh -r

Rotar claves de entidad de certificación

La ejecución del comando rotate-cert requiere varios reinicios de QueryGrid Manager y puede tardar un promedio de 5 minutos por instancia de QueryGrid Manager en el clúster. A continuación, se muestra un ejemplo de un comando rotate-cert correcto:

[tdqgm@qgm1 ~]# /opt/teradata/tdqgm/bin/rotate-cert.sh
Starting rotate-cert command, just a moment...
Checking Manager, Nodes, and Fabric versions for compatibility
Generating new Certificate Authority certificate
Enter validity period in days for Certificate Authority [365-40000]: 3650
Adding new Certificate Authority to Managers trust store (requires Manager restart)
Restarting Manager on qgm1...
Manager on qgm1 restarted successfully
Restarting Manager on qgm2...
Manager on qgm2 restarted successfully
Verifying Managers trust new Certificate Authority
Verifying Nodes trust new Certificate Authority
Activating new Certificate Authority (requires Manager restart)
Restarting Manager on qgm1...
Manager on qgm1 restarted successfully
Restarting Manager on qgm2...
Manager on qgm2 restarted successfully
Removing previous Certificate Authority (requires Manager restart)
Restarting Manager on qgm1...
Manager on qgm1 restarted successfully
Restarting Manager on qgm2...
Manager on qgm2 restarted successfully
Verifying previous Certificate Authority is removed
 
 
rotate-cert command successful.
 
 
=== Additional Information ===
- If not using a custom certificate for port 9443 then add the new CA public certificate to Viewpoint to enable the QueryGrid portlet to continue to work.
- If using Automatic Deployment of QueryGrid on scalable clusters, tdqg-node.json will need to be regenerated so it contains the new certificate.
- If operating Teradata SQLE in AWS, a new NFR image will need to be generated so it has the updated certificate.
Es posible que sean necesarias tareas adicionales después de la rotación en función de determinados criterios:
  • Si no usa un certificado personalizado para el puerto 9443, agregue el nuevo certificado público de la entidad de certificación a Viewpoint para permitir que el portlet QueryGrid continúe funcionando.
  • Si utiliza la implementación automática de QueryGrid en clústeres escalables, vuelva a generar tdqg-node.json para agregar el nuevo certificado.
  • Si opera Vantage SQL Engine en AWS o Google Cloud, genere una nueva imagen NFR para actualizar el certificado.

Cambiar el vencimiento del certificado de servidor

Los certificados de servidor predeterminados se generan automáticamente al iniciarse desde la entidad de certificación de todo el clúster de QueryGrid Manager. El vencimiento predeterminado de un certificado de servidor es de 2 años. Cuando QueryGrid detecta que un certificado de servidor está dentro de los 90 días de la fecha de vencimiento, genera una alerta que se muestra en a vista Problemas del portlet Viewpoint de QueryGrid. Una vez que vence un certificado de servidor, ya no se permite la comunicación con la instancia de QueryGrid Manager. Si se reinicia QueryGrid Manager, se genera un nuevo certificado.

El siguiente comando cambia la fecha de vencimiento del certificado de servidor:

/opt/teradata/tdqgm/rotate-cert.sh -s days

Este comando solo cambia el certificado de servidor para la instancia local de QueryGrid Manager y reinicia QueryGrid Manager para que surta efecto. Los certificados de servidor personalizados que se han instalado para el acceso a través del puerto 9443 no se ven afectados por este comando.