QueryGrid Managerが最初に起動されると、認証局が作成されます。認証局は、通信のセキュリティ保護に使用されるQueryGrid Manager サーバー証明書を生成するために使用されます。QueryGrid Manager インスタンスがクラスタに追加されると、新しいインスタンスは参加するクラスタの認証局を継承します。クラスタ内のすべてのQueryGridノードには、信頼されたQueryGrid Manager インスタンスと通信していることを確認するために、その認証局のコピーがあります。
認証局の既定の有効期限は 100 年です。QueryGridは、認証局が有効期限の 90 日以内であることを検出すると、Viewpoint QueryGrid ポートレット 問題 ビューに表示されるアラートを生成します。
有効期限を変更したり、認証局キーをローテーションするには、すべての QueryGrid マネージャ、ノード、およびファブリックがオンラインで、QueryGrid バージョン 02.13 以降を実行している必要があります。
次のコマンドを使用すると、認証局の有効期限を変更したり、認証局のキーを変更したりできます。
/opt/teradta/tdqgm/bin/rotate-cert.sh
/opt/teradta/tdqgm/bin/rotate-cert.sh -r
認証局キーのローテーション
[tdqgm@qgm1 ~]# /opt/teradata/tdqgm/bin/rotate-cert.sh Starting rotate-cert command, just a moment... Checking Manager, Nodes, and Fabric versions for compatibility Generating new Certificate Authority certificate Enter validity period in days for Certificate Authority [365-40000]: 3650 Adding new Certificate Authority to Managers trust store (requires Manager restart) Restarting Manager on qgm1... Manager on qgm1 restarted successfully Restarting Manager on qgm2... Manager on qgm2 restarted successfully Verifying Managers trust new Certificate Authority Verifying Nodes trust new Certificate Authority Activating new Certificate Authority (requires Manager restart) Restarting Manager on qgm1... Manager on qgm1 restarted successfully Restarting Manager on qgm2... Manager on qgm2 restarted successfully Removing previous Certificate Authority (requires Manager restart) Restarting Manager on qgm1... Manager on qgm1 restarted successfully Restarting Manager on qgm2... Manager on qgm2 restarted successfully Verifying previous Certificate Authority is removed rotate-cert command successful. === Additional Information === - If not using a custom certificate for port 9443 then add the new CA public certificate to Viewpoint to enable the QueryGrid portlet to continue to work. - If using Automatic Deployment of QueryGrid on scalable clusters, tdqg-node.json will need to be regenerated so it contains the new certificate. - If operating Teradata SQLE in AWS, a new NFR image will need to be generated so it has the updated certificate.
- ポート 9443 にカスタム証明書を使用しない場合は、新しい認証局の公開証明書を Viewpoint に追加して QueryGrid ポートレットの作業を続行できるようにします。
- スケーラブルクラスタでQueryGridの自動展開を使用する場合は、tdqg-node.jsonを再生成して新しい証明書を追加します。
- AWS または GCP で Teradata SQLE を操作している場合は、新しい NFR イメージを生成して証明書を更新します。
サーバー証明書の有効期限の変更
既定のサーバー証明書は、起動時に QueryGrid マネージャ クラスタ全体の認証局から自動的に生成されます。サーバー証明書のデフォルトの有効期限は 2 年です。サーバー証明書が有効期限から 90 日以内であることを QueryGrid が検出すると、Viewpoint QueryGrid ポートレットの 問題 ビューに表示されるアラートが生成されます。サーバー証明書の有効期限が切れると、QueryGrid マネージャ インスタンスとの通信は許可されなくなります。QueryGrid マネージャを再起動すると、新しい証明書が生成されます。
次のコマンドは、サーバー証明書の有効期限を変更します。
/opt/teradata/tdqgm/rotate-cert.sh -s days
このコマンドは、ローカル QueryGrid マネージャのサーバー証明書のみを変更し、QueryGrid マネージャを再起動して有効にします。ポート 9443 経由でアクセスするためにインストールされたカスタム サーバー証明書は、このコマンドの影響を受けません。