FusionStorage+FSM+Web服务认证证书更新指导+01

1、FusionStorageFSM Web服务认证证书更新指导文档版本01发布日期2020-11-30华为技术有限公司版权所有 华为技术有限公司2020。 保留一切权利。非经本公司书面许可，任何单位和个人不得擅自摘抄、复制本文档内容的部分或全部，并不得以任何形式传播。商标声明 和其他华为商标均为华为技术有限公司的商标。本文档提及的其他所有商标或注册商标，由各自的所有人拥有。注意您购买的产品、服务或特性等应受华为公司商业合同和条款的约束，本文档中描述的全部或部分产品、服务或特性可能不在您的购买或使用范围之内。除非合同另有约定，华为公司对本文档内容不做任何明示或默示的声明或保证。由于产品版本升级或其

2、他原因，本文档内容会不定期进行更新。除非另有约定，本文档仅作为使用指导，本文档中的所有陈述、信息和建议不构成任何明示或暗示的担保。华为技术有限公司地址：深圳市龙岗区坂田华为总部办公楼 邮编：518129网址：客户服务邮箱：support客户服务电话：4008302118文档版本01 (2020-11-30)版权所有 华为技术有限公司iFusionStorageFSM Web服务认证证书更新指导目 录目 录1 使用说明12 一键替换方法32.1 上传一键替换脚本和证书32.2 执行一键替换脚本43 V100R006版本手动替换指导73.1 备份原证书文件73.2 上传证书至主FSM83.3 替换

3、证书93.4 检查dsware_tool工具是否可用104 V100R003版本手动替换指导114.1 备份原证书文件114.2 上传证书至主FSM124.3 替换证书124.4 检查dsware_tool工具是否可用14文档版本01 (2020-11-30)版权所有 华为技术有限公司iiFusionStorageFSM Web服务认证证书更新指导1 使用说明1 使用说明该文档提供对FSM web服务认证证书即将过期场景和已经过期场景证书更新的指导操作。优先使用一键替换方法进行替换，一键替换方法失败后再根据产品版本使用手动替换方案进行替换。证书文件从support下载，新证书保护密钥为Huaw

4、ei123。适用本文档前置条件：1. 本文档支持V100R006和V100R003版本。2. 界面出现“ALM-51301 证书即将到期”或“ALM-51302 证书已经到期”，证书类型为OMM_Tomcat_Certificate，如下图。V100R003C02版本没有portal界面，没有此告警。请在FSM主节点执行以下命令查看是否为默认证书，为默认证书才执行本文档。md5sum $(cat /opt/omm/oms/workspace/tomcat/conf/server.xml |grep keystoreFile |awk -F = print $3) | awk -F print

5、$1如果回显值为“13916589fa13dd340772d00dbbe250f7”，则为默认证书，否则请退出使用本文档。V100R003版本，替换过程中可能会出现DSMWeb资源异常告警，证书替换完成后告警自动恢复。V100R003版本，更换服务证书和信任证书必须都成功。其中一个失败请重试或联系华为工程师。否则会造成dsware_tool工具不可用，DSMWeb资源异常。文档版本01 (2020-11-30)版权所有 华为技术有限公司1FusionStorageFSM Web服务认证证书更新指导2 一键替换方法2 一键替换方法一键替换方法需要使用的材料如下：l One-click_repla

6、ce_cert.sh脚本。l 信任证书tomcat_client.jks和服务证书tomcat_server.jks。1. 执行One-click_replace_cert.sh脚本后，会将当前使用的证书备份到/home/backup_default_certificate目录下注意，不同存储版本，名字可能不一样，服务证书名称中有server，信任证书有client。2. 当执行脚本，会检查到当前使用的证书是否为默认证书。l 当前使用的证书为默认证书，提示输入新证书密码。1. 当前使用证书不是默认证书，请结束使用本文档。2.1 上传一键替换脚本和证书2.2 执行一键替换脚本2.1 上传一键替换

7、脚本和证书登录FSM主节点，切换到root用户下，执行下列命令检查回显为“active”则为主FSM节点，否则，请切换至FSM主节点。/opt/omm/oms/workspace/ha/module/hacom/script/get_harole.sh步骤 1 切换至root用户。步骤 2 上传一键替换脚本One-click_replace_cert.sh和tomcat_server.jks、tomcat_client.jks 到 /home/dsware目录下。-结束2.2 执行一键替换脚本步骤 1 执行一键替换脚本sh /home/dsware/One-click_replace_cert

8、.shl 回显如下图，请输入证书密码l 回显如下图，则当前环境中使用的tomcat SSL证书不为默认证书，本文档不适用，请结束替换！步骤 2 输入证书密码。本次提供的证书密码为Huawei123等待脚本执行完成，脚本自动退出。此过程大约2分钟。输入密码后，l V100R006版本回显如下STEP 6 中会重试查询服务是否正常，因为tomcat可能正在启动，所以前几次可能会失败。l V100R003版本回显如下l 当最后回显如下图，替换成功，结束。l 当最后回显如下图或打印了fail，请进行重试或根据产品版本使用手动替换方案，如再次失败，请联系华为工程师。-结束文档版本01 (2020-11-

9、30)版权所有 华为技术有限公司5FusionStorageFSM Web服务认证证书更新指导3 V100R006版本手动替换指导3 V100R006版本手动替换指导登录FSM主节点，切换到root用户下。执行以下命令，检查回显为“active”则为主FSM节点，否则，请切换至FSM主节点。/opt/omm/oms/workspace/ha/module/hacom/script/get_harole.sh3.1 备份原证书文件3.2 上传证书至主FSM3.3 替换证书3.4 检查dsware_tool工具是否可用3.1 备份原证书文件步骤 1 登录主FSM节点，切换至root用户下，执行以下

10、命令获取服务证书的路径：grep keystoreFile /opt/omm/oms/workspace/tomcat/conf/server.xml获取到的服务证书的路径如下：信任证书的路径：“/opt/omm/oms/workspace/webapps/dsware/WEB-INF/tomcat_client.key”步骤 2 执行以下命令将服务端和信任证书进行备份。mkdir -p /home/cert_tomcat_backup cp 服务端证书的路径 /home/cert_tomcat_backup cp 信任证书路径 /home/cert_tomcat_backup ll /hom

11、e/cert_tomcat_backup“服务端证书路径”和“信任证书路径”从步骤1中获取-结束3.2 上传证书至主FSM使用“WinSCP”工具，将信任证书tomcat_client.jks和服务证书tomcat_server.jks拷贝到FSM主节点的“/home/dsware”路径下，然后执行下列命令设置证书文件权限。cd /home/dsware chown dsware:omm tomcat_client.jks chown dsware:omm tomcat_server.jks需要使用dsware_tool工具，工具账号为cmdadmin，密码请从对应产品文档获取cmdadmin

12、密码。已知V100R006C10、V100R006C20、V100R006C30默认密码为 IaaSPORTAL-CLOUD9!；V100R006C00、V100R003默认密码为cmdHuawei123。步骤 1 执行下列命令，切换至dsware帐户。su - dsware步骤 2 执行下列命令，切换至DswareTool命令脚本目录。cd /opt/dsware/client/bin步骤 3 依次执行以下命令完成信任证书tomcat_client.jks和服务证书tomcat_server.jks上传。1. 执行下列命令上传信任证书sh dswareTool.sh -op saveCert

13、ificate -certificateType TOMCAT_SSL_ROOT -certFilePath /home/dsware/tomcat_client.jks其中privatekey password是 Huawei123V100R006C00版本执行命令需要添加证书别名 -certificateAlias alias，V100R006C00版本完整命令如下：sh dswareTool.sh -op saveCertificate -certificateType TOMCAT_SSL_ROOT -certFilePath /home/dsware/tomcat_client.jk

14、s -certificateAlias alias2. 执行下列命令上传服务证书sh dswareTool.sh -op saveCertificate -certificateType TOMCAT_SSL_SELF -certFilePath /home/dsware/tomcat_server.jks其中privatekey password是 Huawei123V100R006C00版本执行命令需要添加证书别名 -certificateAlias alias，V100R006C00版本完整命令如下：sh dswareTool.sh -op saveCertificate -certif

15、icateType TOMCAT_SSL_SELF -certFilePath /home/dsware/tomcat_server.jks -certificateAlias alias-结束3.3 替换证书需要使用dsware_tool工具，工具账号为cmdadmin，密码请从对应产品文档获取cmdadmin密码。已知V100R006C10、V100R006C20、V100R006C30默认密码为 IaaSPORTAL-CLOUD9!；V100R006C00、V100R003默认密码为cmdHuawei123。步骤 1 执行命令，更换FSM web服务的SSL认证证书。sh dswareT

16、ool.sh -op updateTomcatCertificate -certificateTypeList TOMCAT_SSL_SELF,TOMCAT_SSL_ROOT -all true步骤 2 切换至root用户。执行以下命令检查证书是否更新（新的证书密码为Huawei123，旧证书密码为HuaweiOMM2.0canreallychangeIT#）/opt/omm/oms/jre/bin/keytool -list -v -keystore $(cat /opt/omm/oms/workspace/tomcat/conf/server.xml |grep keystoreFile

17、|awk -F = print $3) | grep Valid from检查回显为-结束3.4 检查dsware_tool工具是否可用步骤 1 登录fsm主节点，切换至dsware用户下su - dsware步骤 2 执行下列命令检查服务是否正常sh /opt/dsware/client/bin/dswareTool.sh -op managerStatus回显如下图正常如果命令多次执行失败，请联系华为工程师。需要使用dsware_tool工具，工具账号为cmdadmin，密码请从对应产品文档获取cmdadmin密码。已知V100R006C10、V100R006C20、V100R006C30

18、默认密码为 IaaSPORTAL-CLOUD9!；V100R006C00、V100R003默认密码为cmdHuawei123。-结束文档版本01 (2020-11-30)版权所有 华为技术有限公司9FusionStorageFSM Web服务认证证书更新指导4 V100R003版本手动替换指导4 V100R003版本手动替换指导登录FSM主节点，切换到root用户下。执行以下命令检查回显为“active”则为主FSM节点，否则，请切换至FSM主节点。sh /opt/omm/oms/workspace/ha/module/hacom/script/get_harole.sh1. 替换过程中更换F

19、SM服务证书和FSM信任证书间隔时间大于3分钟，可能会进行FSM主备切换。如果过程FSM主备进行了切换，请在切换后的主节点重新执行。2. V100R003版本没有CLI命令执行更新证书，需要手动执行脚本更新证书。3. 替换过程中可能会出现DSMweb资源异常告警，操作成功后告警消失。4. 替换FSM服务证书和信任证书必须都成功，如果其中一个成功了，另一个没有成功，请重试或者回退所有证书。4.1 备份原证书文件4.2 上传证书至主FSM4.3 替换证书4.4 检查dsware_tool工具是否可用4.1 备份原证书文件步骤 1 登录主FSM节点，切换至root用户下，执行以下命令获取服务端证书的

20、路径：grep keystoreFile /opt/omm/oms/workspace/tomcat/conf/server.xml获取到的服务证书路径如下：信任证书的路径固定如下：“/opt/omm/oms/workspace/webapps/dsware/WEB-INF/tomcat_client.key”步骤 2 执行以下命令将服务证书和信任证书进行备份。mkdir -p /home/cert_tomcat_backup cp 服务证书的路径 /home/cert_tomcat_backup cp 信任证书路径 /home/cert_tomcat_backup ll /home/cert

21、_tomcat_backup“服务证书路径”和“信任证书路径”从步骤1中获取-结束4.2 上传证书至主FSM使用“WinSCP”工具，将tomcat_client.jks和tomcat_server.jks拷贝到FSM主节点的“/home/dsware”路径下，然后执行下列命令设置证书文件权限。cd /home/dsware chown dsware:omm tomcat_client.jks chown dsware:omm tomcat_server.jks4.3 替换证书步骤 1 切换至root用户下，执行下列命令替换tomcat_server.jks证书export OMS_RUN_P

22、ATH=/opt/omm/oms /opt/omm/oms/tools/import_crt -f /home/dsware/tomcat_server.jks根据回显信息提示，输入证书的密钥（新的证书密码为Huawei123，旧默认证书密码为HuaweiOMM2.0canreallychangeIT#）。回显如下信息，表示服务端证书更换成功。Congratulations, update the tomcat certificate successfully.步骤 2 切换至root用户下，执行下列命令替换tomcat_client.jks证书export OMS_RUN_PATH=/opt/omm/oms /opt/dsware/manag