Configuración de certificados SSL en AWS

Netezza Performance Server para Cloud Pak for Data

Aprenda a configurar sus propios certificados SSL para Netezza Performance Server en AWS.

Antes de empezar

Asegúrese de que dispone de los siguientes certificados y elementos:
  • El certificado SSL del dominio/servidor

    Asegúrate de que está en el formato ' .pem '. Si no lo es, conviértalo. También debes cambiarle el nombre a ' server-cert.pem.

  • La clave del servidor.

    Debes renombrarlo a ' server-key.pem.

  • El certificado CA o certificado raíz.
  • Debes renombrarlo a ' cacert.pem.
  • El espacio de nombres.

Procedimiento

  1. Inicie sesión en el clúster Red Hat OpenShift.
    Puede iniciar sesión en el clúster Red Hat OpenShift desde la línea de comandos ejecutando el siguiente comando.
    oc login https://api.<CLUSTER_NAME>.<ROUTE53_DNS>:6443 --insecure-skip-tls-verify -u kubeadmin -p <password>
    El script de instalación escribe los datos de acceso al cluster Red Hat OpenShift en ' <installation_script_execution_directory>/envs/<CLUSTER_NAME>/assets/oc_login_details. Red Hat OpenShift crea un usuario por defecto ' kubeadmin con el rol ' cluster-admin ' durante la instalación. La contraseña del cluster se guarda en el archivo ' <installation_script_execution_directory>/envs/<CLUSTER_NAME>/assets/auth/kubeadmin-password.
  2. Sustituye los secretos SSL por defecto por tus secretos.
    export NAMESPACE=<ns>
oc -n $NAMESPACE delete secret ssl-secret
oc -n $NAMESPACE create secret generic ssl-secret --from-file=cacert.pem --from-file=server-cert.pem --from-file=server-key.pem
  3. Reinicie la consola Netezza Performance Server.
    oc -n $NAMESPACE delete pod -l app=console
# wait for the pod to restart, be RUNNING and Ready=1/1
# then press Ctrl-C
oc -n $NAMESPACE get pod -w -l app=console
NAME                       READY   STATUS    RESTARTS   AGE
console-8696c4f97c-wbjtq   0/1     Running   0          67s
console-8696c4f97c-wbjtq   1/1     Running   0          86s
^C
  4. Compruebe si el certificado SSL coincide con los host name y domain name que se especificaron durante la instalación de Netezza Performance Server.
    Puede comprobar el certificado SLL en el directorio de instalación en el que ejecutó el comando ' nz-cloud '.
    # eg On the system that nz-cloud was run from, in the install directory
cat envs/lontest2/assets/cp4d_login_details
cp4d_USERNAME=admin
cp4d_PASSWORD=......
cp4d_CONSOLE_URL=https://zen-cpd-zen.apps.{cluster-name}.ibmnzcloud.com    #

    Si el certificado SSL utiliza el dominio del clúster, vaya al paso 4.

    Si su certificado SSL es válido para ' *.{ssl-cert-domain}.com, pero su cluster fue instalado como ' *.{cluster-name}.foobar.com, realice los siguientes subpasos.
    1. En las entradas DNS de sus proveedores de nube, añada los siguientes alias CNAME.
      • {cluser-name}-cpd.{ssl-cert-domain}.com

        Este alias es para la URL de la consola web Cloud Pak for Data.

        Asegúrate de que ' CNAME ' apunta a ' zen-cpd-zen.apps.{cluster-name}.ibmnzcloud.com.
      • {cluser-name}-console.{ssl-cert-domain}.com

        Este alias es para la URL de la consola web Netezza Performance Server.

        Asegúrate de que ' CNAME ' apunta a la consola web.
        oc -n $NAMESPACE get svc console | awk '{print $4}'
      • {cluster-name}-nps.{ssl-cert-domain}.com

        Este alias es para la propia base de datos Netezza Performance Server.

        Asegúrese de que ' CNAME ' apunta al servicio Netezza Performance Server.
        oc -n $NAMESPACE get svc ipshost-external | awk '{print $4}'
      • Configure las rutas Red Hat OpenShift para reflejar y utilizar estos alias.
        oc create route passthrough --service=console --port=443 -n $NAMESPACE \
         --hostname={cluster-name}-console.{ssl-cert-domain}.com
oc create route passthrough -n zen --service=ibm-nginx-svc --port=ibm-nginx-https-port \
         --hostname={cluster-name}-cpd.{ssl-cert-domain}.com
      • Recicle el pod de consola Netezza Performance Server.
        oc -n $NAMESPACE scale deployment -l app=console --replicas=0
oc -n $NAMESPACE get pods -w -l app=console 
# ... wait until all console pods go away and then press Ctrl-C


oc -n $NAMESPACE set env deployment -l app=console CPD_HOST={cluster-name}-cpd.{ssl-cert-domain}.com
oc -n $NAMESPACE scale deployment -l app=console --replicas=1
oc -n $NAMESPACE get pods -w -l app=console 
# ... wait until console pods go to Running state then press Ctrl-C
  5. Siga la guía este Cloud Pak for Data para configurar sus certificados SSL en el portal Cloud Pak for Data.
    Nota: Cuando realice el paso 7 de la guía, asegúrese de renombrar sus certificados SSL a cert.crt y la clave a cert.key.