Sustitución del certificado de seguridad en el sistema operativo Linux

138 0 1 0

Sustitución del certificado de seguridad en Linux

Contexto

El eMP se proporciona con un certificado de seguridad SSL incorporado predeterminado. Para mejorar la seguridad, se recomienda que las empresas reemplacen el certificado de seguridad incorporado con certificados comerciales emitidos por la CA.

En la mayoría de los casos, el navegador ha incrustado un certificado raíz emitido por la CA. Si las empresas compran dicho certificado, los usuarios no necesitan cargar el certificado raíz en el navegador.

En el escenario de clúster de dos nodos, reemplace el certificado en cada nodo del servidor eMP.

Ø  Al comprar un certificado, asegúrese de que Nombre común sea el mismo que el nombre de dominio del sitio web.

Ø  Antes de reemplazar el certificado de seguridad original, haga una copia de seguridad del archivo del certificado y del archivo de configuración para restaurarlo si ocurriera una falla.

Ø  Después de reemplazar el certificado de seguridad original, reinicie el eMP. Durante el reinicio, los servicios de eMP no están disponibles. Se recomienda que realice la tarea de reemplazo durante las horas de menor actividad.

Prerrequisitos

Ø  La clave pública, la clave privada y la contraseña de la clave privada del certificado se han obtenido utilizando los métodos proporcionados por la CA.

Ø  El cliente VCS se instaló en la PC local donde se implementó el clúster de dos nodos eMP en dos servidores Linux.

Pasos a seguir.

1. Detenga el servicio eMP.

Ø  Instalación separada de un sistema de nodo único eMP.

a. Inicie sesión en el servidor eMP como usuario ossuser y detenga el servicio eMP.

cd / home / ossuser / eMP / bin /

./shutdown.sh

b. Inicie sesión en el servidor de eMP como usuario empuser y detenga el servicio de eMP.

cd / home / empuser / eMP / bin /

./shutdown.sh

Ø  Instalación separada de un clúster de dos nodos eMP.

a. Inicie el cliente VCS.

b. Elija Archivo> Nuevo clúster.

c. Ingrese la dirección IP externa del nodo activo o en espera y haga clic en Aceptar.

El sistema le solicita que ingrese su nombre de usuario y contraseña de VCS.

NOTAS:

²  En Nombre de usuario, ingrese el nombre de usuario para usar el cliente Cluster Manager para administrar el clúster de dos nodos. El valor predeterminado es admin.

²  En Contraseña, ingrese la contraseña del usuario administrador, que se configura cuando instala manualmente el cliente VCS.

d. Ingrese su nombre de usuario y contraseña de VCS y haga clic en Aceptar.

Se muestra la ventana principal del cliente VCS. Puede ver los servidores en línea en la página de la pestaña Estado.

Ventana principal del cliente VCS

 

 

Cliente VCS


 

e. En el árbol de navegación de la izquierda, haga clic con el botón derecho en empcluster_group y elija Fuera de línea> Todo el sistema en el menú contextual.

2. Cargue la clave pública del servidor y los archivos de clave privada en el servidor eMP.

Ø  El usuario del ossuser necesita cargar estos archivos en el directorio / home / ossuser / eMP / etc / certificate /.

Ø  El usuario de empuser debe cargar estos archivos en el directorio / home / empuser / eMP / etc / certificate /.

Por ejemplo, la clave pública del servidor y los archivos de clave privada emitidos por la CA son los siguientes:

²  Key Clave pública del servidor: ssl_server_cert.crt

²  Key Clave privada del servidor: ssl_server_cert_key.pem

NOTA:

Los nombres y extensiones de archivos reales pueden ser diferentes de los del ejemplo. Reemplace los archivos de ejemplo con los nombres reales de la clave pública del servidor y los archivos de clave privada en los pasos posteriores.

3. Configure el certificado.

a. Inicie sesión en el servidor eMP como usuario ossuser y usuario empuser.

b. Vaya al directorio donde están almacenados los archivos del certificado.

Ø  Directorio del certificado del usuario del ossuser.

cd / home / ossuser / eMP / etc / certificate

Ø  Directorio de certificados del usuario empuser.

cd / home / empuser / eMP / etc / certificate

c. Cambie los permisos para la clave pública del servidor y los archivos de clave privada.

Ø  Cambie los permisos del archivo de certificado como usuario del ossuser.

chown -R ossuser: ossgroup ssl_server_cert.crt

chown -R ossuser: ossgroup ssl_server_cert_key.pem

chmod -R 600 ssl_server_cert.crt

chmod -R 600 ssl_server_cert_key.pem

Ø  Cambie los permisos del archivo de certificado como usuario del empuser.

chown -R empuser: empgroup ssl_server_cert.crt

chown -R empuser: empgroup ssl_server_cert_key.pem

chmod -R 600 ssl_server_cert.crt

chmod -R 600 ssl_server_cert_key.pem

d. Vaya al directorio donde se almacena la herramienta de cifrado.

Ø  Vaya al directorio donde se almacena la herramienta de cifrado como usuario del ossuser.

cd / home / ossuser / eMP / tools /

Ø  Vaya al directorio donde está almacenada la herramienta de cifrado como usuario del empuser.

cd / home / empuser / eMP / tools /

e. Cifrar la contraseña de clave privada del servidor obtenido.

Por ejemplo, cifre la contraseña de clave privada del servidor Yg9ZX9h4.

./aestool e Yg9ZX9h4

En el comando anterior, Yg9ZX9h4 es la contraseña de clave privada del servidor del certificado. Cambie esta contraseña según sea necesario.

La contraseña de la clave privada del servidor cifrado se muestra de la siguiente manera:

adc4174bf786d54273e3b47800c6f575

f. Edite los archivos de configuración de certificación como usuario ossuser y usuario empuser.  

Ø  Vaya al directorio donde está almacenado el archivo de configuración de certificado como usuario ossuser.

cd / home / ossuser / eMP / 3rdparty / nginx / conf /

vi certificate.conf

Ø  Vaya al directorio donde está almacenado el archivo de configuración del certificado como usuario empuser.

cd / home / empuser / eMP / 3rdparty / nginx / conf /

vi certificate.conf

 

 

vi certificate.conf


 

i. Reemplace server.crt con ssl_server_cert.crt.

ii. Reemplace server.pem con ssl_server_cert_key.pem.

iii. Reemplace debe743380e389403bbfe2d24d6ad91f después del signo arroba (@) con adc4174bf786d54273e3b47800c6f575 que se generó en 3.e.

g. Establezca la clave pública del servidor y la clave privada emitidas por la CA, así como la contraseña de clave privada cifrada en el archivo de configuración de certificación. Guarde la configuración y salga.

NOTAS:

Ø  No necesita reemplazar la clave pública del cliente del certificado emitido por la CA.

Ø  En el escenario de clúster de dos nodos, repita los pasos 2 y 3 para reemplazar el certificado en cada nodo del servidor eMP.

4. Inicie el servicio eMP.

Ø  En el escenario del sistema de nodo único, vaya al directorio / home / ossuser / eMP / bin / o / home / empuser / eMP / bin /, y ejecute el script ./startup.sh para iniciar el servicio eMP.

Ø  En el escenario de clúster de dos nodos, elija En línea> ecc-emp1 siguiendo las instrucciones proporcionadas en Instalación separada de un sistema de nodo único eMP y haga clic en Sí en el cuadro de diálogo que se muestra, para iniciar el servicio eMP.

5. Inicie sesión en el servidor eMP para verificar el reemplazo del certificado.

Si se muestra la página de inicio de sesión, el certificado se ha reemplazado correctamente.

 

Temas relacionados que podrían ser de tu interés:


Modificando parámetros de base de datos en solución eSpace EC Huawei.


Configuración de permisos después de instalar software eSpace ECS Huawei.

 


 

#ComunidadEnterprise

#OneHuawei

#HuaweiCCN

 

 


  • x
  • convención:

Comentar

Responder
Debe iniciar sesión para responder la publicación Inicio de sesión | Registrarse

Aviso Aviso: Para garantizar sus legítimos derechos e intereses, la comunidad y los terceros no publicarán contenido que pueda generar riesgos legales a las partes, por ejemplo, pornografía, contenido político, contenido sobre juego, consumo y tráfico de drogas, así como contenido que viole los derechos de propiedad intelectual de terceros, por ejemplo, secretos comerciales, marcas, derechos de autor, patentes y privacidad personal. No comparta su cuenta ni su contraseña con terceros. Todas las operaciones realizadas usando su cuenta se considerarán como sus acciones y todas las consecuencias que estas acciones generen serán responsabilidad suya. Para obtener información detallada, consulte la “ Política de privacidad.”
Si el botón para adjuntar no está disponible, actualice Adobe Flash Player con la versión más reciente
¡Ingresa y disfruta de todos los beneficios para los miembros!

¡Ingresa y disfruta de todos los beneficios para los miembros!

Inicia sesión