2.16 - 認証局のローテーション - Teradata QueryGrid

Teradata® QueryGrid™ インストールとユーザー ガイド

Product
Teradata QueryGrid
Release Number
2.16
Release Date
2021年6月
Content Type
インストール
ユーザー ガイド
構成
管理
Publication ID
B035-5991-061K-JPN
Language
日本語 (日本)

QueryGridマネージャの初回起動時に認証局が作成されます。認証局は、通信のセキュリティ保護に使用するQueryGridマネージャサーバー証明書の生成に使用されます。QueryGridマネージャインスタンスがクラスタに追加されると、新しいインスタンスはそのクラスタの認証局を継承します。クラスタ内のすべてのQueryGridノードには認証局のコピーが配置され、信頼済みQueryGridマネージャインスタンスとの通信が行なわれているかが確認されます。

認証局のデフォルトの有効期限は100年です。QueryGridが認証局の有効期限が90日以内であることを検出すると、アラートが生成されViewpointQueryGridポートレットの問題ビューに表示されます。

有効期限を変更、または認証局キーをローテーションするためには、すべてのQueryGridマネージャ、ノード、およびファブリックがオンラインで、QueryGridバージョン02.13以降を実行している必要があります。

セキュリティ ガイドラインの要件に従って認証局の有効期限を変更、または認証局キーをローテーションするには、次のコマンドを使用します。

/opt/teradta/tdqgm/bin/rotate-cert.sh

rotate-certコマンドが失敗した場合、タスクは停止しますが、QueryGridは機能し続けます。
rotate-certsコマンドが失敗した場合、要求を再実行すると前回のエラーからプロセスが再開されます。リセット引数(-r)を追加して証明書を以前の状態にリセットし、タスクを最初から開始してください。

/opt/teradta/tdqgm/bin/rotate-cert.sh -r

認証局キーのローテーション

rotate-certコマンドの実行にはQueryGridマネージャを何度か再起動する必要があり、クラスタ内のQueryGridマネージャインスタンスごとに平均5分かかります。以下に、成功した場合のrotate-certコマンドの例を示します。

[tdqgm@qgm1 ~]# /opt/teradata/tdqgm/bin/rotate-cert.sh
Starting rotate-cert command, just a moment...
Checking Manager, Nodes, and Fabric versions for compatibility
Generating new Certificate Authority certificate
Enter validity period in days for Certificate Authority [365-40000]: 3650
Adding new Certificate Authority to Managers trust store (requires Manager restart)
Restarting Manager on qgm1...
Manager on qgm1 restarted successfully
Restarting Manager on qgm2...
Manager on qgm2 restarted successfully
Verifying Managers trust new Certificate Authority
Verifying Nodes trust new Certificate Authority
Activating new Certificate Authority (requires Manager restart)
Restarting Manager on qgm1...
Manager on qgm1 restarted successfully
Restarting Manager on qgm2...
Manager on qgm2 restarted successfully
Removing previous Certificate Authority (requires Manager restart)
Restarting Manager on qgm1...
Manager on qgm1 restarted successfully
Restarting Manager on qgm2...
Manager on qgm2 restarted successfully
Verifying previous Certificate Authority is removed
 
 
rotate-cert command successful.
 
 
=== Additional Information ===
- If not using a custom certificate for port 9443 then add the new CA public certificate to Viewpoint to enable the QueryGrid portlet to continue to work.
- If using Automatic Deployment of QueryGrid on scalable clusters, tdqg-node.json will need to be regenerated so it contains the new certificate.
- If operating Teradata SQLE in AWS, a new NFR image will need to be generated so it has the updated certificate.
状況によっては、ローテーション後に追加のタスクが必要です。
  • ポート9443にカスタム証明書を使用しない場合は、新しい認証局の公開証明書をViewpointに追加し、QueryGridポートレットが引き続き動作するようにします。
  • スケーラブルなクラスタでQueryGridの自動デプロイを使用する場合は、tdqg-node.jsonを再生成して新しい証明書を追加します。
  • AWSまたはGoogle CloudでVantage Advanced SQL Engineを実行している場合は、新しいNFRイメージを生成して証明書を更新します。

サーバー証明書の有効期限の変更

デフォルトのサーバー証明書は、初回起動時にQueryGridマネージャのクラスタ用認証局から自動的に生成されます。サーバー証明書のデフォルトの有効期限は2年です。QueryGridがサーバー証明書の有効期限が90日以内であることを検出すると、アラートが生成されViewpointQueryGridポートレットの問題ビューに表示されます。サーバー証明書の有効期限が切れると、QueryGridマネージャ インスタンスと通信できなくなります。QueryGridマネージャを再起動すると、新しい証明書が生成されます。

次のコマンドはサーバー証明書の有効期限を変更します。

/opt/teradata/tdqgm/rotate-cert.sh -s days

このコマンドは、ローカルQueryGridマネージャのサーバー証明書のみを変更し、QueryGridマネージャを再起動して変更を有効にします。ポート9443経由でのアクセスのためにインストールされたカスタムのサーバー証明書は、このコマンドでは変更されません。