QueryGridマネージャのREST APIインターフェースによって生成されたサーバー証明書は内部的に生成され、Trusted Certificate Authority(信頼される認証局)による署名はありません。Trusted Certificate Authorityにより署名されたカスタム サーバー証明書をインストールすることで、REST APIにアクセスする場合のセキュアな環境を作成できます。
カスタム証明書をインストールするには、次が必要です。
- 証明書はPKCS12またはJKSキーストア形式でなければなりません。
- Javaキーツールを使用して、証明書をJKSキーストア形式で生成またはインポートできます。
- OpenSSLを使用して、証明書をPKCS12形式で生成またはエクスポートできます。
- Subject Alternative Namesには、Viewpointまたは他のREST APIクライアントがQueryGrid Managerにアクセスするために使用するホスト名とIPアドレスが含まれている必要があります。
これには、Viewpoint QueryGridポートレットで表示できるQueryGrid Managerパブリック アドレスが含まれます。
- 証明書を生成し適切な形式(PKCS12またはJKS)に変換します。
- tdqgmユーザーがアクセスできる場所にインストールできるように、選択したQueryGridマネージャに証明書をコピーします。
- QueryGridマネージャ シェルにログインします。
- 作業ディレクトリを設定します。cd /opt/teradata/tdqgm/bin
- ./set-cert.sh certfileコマンドをrootまたはtdqgmユーザーとして実行します。このコマンドで、certfileはカスタムのJKSまたはPKCS12キーストア証明書の場所です。
- 表示されたプロンプトに、キーストア パスワード、キー パスワード、または証明書の別名などの追加情報で答えます。
- プロンプトで確認して続行し、QueryGrid Managerが正常に再起動するのを待ちます。
tdqgm1:/opt/teradata/tdqgm/bin # ./set-cert.sh mycert Starting set-cert command, just a moment... Enter the key store password: ******** Using certificate "custom". A restart of QueryGrid Manager is required to use the new certificate. Are you sure you want to install a custom certificate for port 9443? [y/n]: y Stopping QueryGrid Manager... Starting QueryGrid Manager... QueryGrid Manager started successfully. Use a browser to connect to https://sdlc6925.labs.teradata.com:9443/ and verify the certificate is working. To unset the certificate you can use the "set-cert.sh -u" command set-cert command successful.
- 再起動したら、場合によりViewpointで新しい証明書を信頼するように構成する必要があります。JKSまたはPKCS12キーストアに完全な証明書チェーンが含まれていない場合は、PEMまたはDERでエンコードされた証明書を含むファイルオプションを使用してCA証明書を追加する必要があります。
- (オプション)カスタム証明書をアンインストールしてデフォルトの証明書に戻すには、次のコマンドを実行します。./set-cert.sh -u