Configuración de certificados SSL en AWS

Netezza Performance Server para Cloud Pak for Data

Aprenda a configurar sus propios certificados SSL para Netezza Performance Server en AWS.

Antes de empezar

Asegúrese de que dispone de los siguientes certificados y elementos:
  • El certificado SSL del dominio/servidor

    Asegúrate de que está en el formato ' .crt '. También debes cambiarle el nombre a ' tls.crt.

  • La clave del servidor.

    Debes renombrarlo a ' tls.key.

  • El certificado CA o certificado raíz.
  • Debes renombrarlo a ' ca.crt.
  • El espacio de nombres.
Nota: Se requiere que el certificado/clave esté en formato PEM, pero debe tener el nombre especificado.

Procedimiento

  1. Inicie sesión en el clúster Red Hat OpenShift.
    Puede iniciar sesión en el clúster Red Hat OpenShift desde la línea de comandos ejecutando el siguiente comando.
    oc login https://api.<CLUSTER_NAME>.<ROUTE53_DNS>:6443 --insecure-skip-tls-verify -u kubeadmin -p <password>
    El script de instalación escribe los datos de acceso al cluster Red Hat OpenShift en ' <installation_script_execution_directory>/envs/<CLUSTER_NAME>/assets/oc_login_details. Red Hat OpenShift crea un usuario por defecto ' kubeadmin con el rol ' cluster-admin ' durante la instalación. La contraseña del cluster se guarda en el archivo ' <installation_script_execution_directory>/envs/<CLUSTER_NAME>/assets/auth/kubeadmin-password.
  2. 'Elimina el objeto de recurso personalizado de certificado autofirmado existente del espacio de nombres ' ibm-nz-cyclops-private si estás utilizando un endpoint privado. En caso contrario, utilice el espacio de nombres ' ibm-nz-cyclops '.
    oc delete  certificate  ibm-nz-cyclops-private-cert -n ibm-nz-cyclops-private
  3. Sustituya los secretos existentes consistentes en certificados autofirmados por certificados personalizados ejecutando el siguiente comando.
    oc delete secret ips-ssl-certs -n ibm-nz-cyclops-private
oc -n ibm-nz-cyclops-private create secret generic ips-ssl-certs --from-file=ca.crt --from-file=tls.crt --from-file=tls.key
  4. ' Reinicia todos los pods de la consola cyclops. El número de réplicas debe ser 3.
    oc scale deployment <deployment-name> --replicas=0
oc scale deployment <deployment-name> --replicas=<number of replicas>
  5. Verify whether the SSL certificate matches the host name and domain name that were specified during the installation of Netezza Performance Server.
    Puede comprobar el certificado SLL en el directorio de instalación en el que ejecutó el comando ' nz-cloud '.
    # eg On the system that nz-cloud was run from, in the install directory
cat envs/lontest2/assets/cp4d_login_details
cp4d_USERNAME=admin
cp4d_PASSWORD=......
cp4d_CONSOLE_URL=https://zen-cpd-zen.apps.{cluster-name}.ibmnzcloud.com    #

    Si el certificado SSL utiliza el dominio del clúster, vaya al paso 4.

    Si su certificado SSL es válido para ' *.{ssl-cert-domain}.com, pero su cluster fue instalado como ' *.{cluster-name}.foobar.com, realice los siguientes subpasos.

    En las entradas DNS de sus proveedores de nube, añada los siguientes alias ' CNAME '.

    1. {cluser-name}-cpd.{ssl-cert-domain}.com

      Este alias es para el URL de la consola web Cloud Pak for Data.

      Asegúrate de que ' CNAME ' apunta a ' zen-cpd-zen.apps.{cluster-name}.ibmnzcloud.com.
    2. {cluser-name}-console.{ssl-cert-domain}.com

      Este alias es para el URL de la Netezza Performance Server consola web.

      Asegúrate de que ' CNAME ' apunta a la consola web.
      oc -n $NAMESPACE get svc console | awk '{print $4}'

      Donde $NAMESPACE puede ser ' ibm-nz-cyclops o ' ibm-nz-cyclops-private dependiendo del tipo de endpoint elegido.

      Ejemplo:
      oc -n ibm-nz-cyclops-private get svc | awk '{print $4}'
    3. {cluster-name}-nps.{ssl-cert-domain}.com

      Este alias es para la propia base de datos Netezza Performance Server.

      Asegúrese de que ' CNAME ' apunta al servicio Netezza Performance Server.
      oc -n $NAMESPACE get svc ipshost-external | awk '{print $4}'
    4. Configure las rutas Red Hat OpenShift para reflejar y utilizar estos alias.
      oc create route passthrough --service=console --port=443 -n $NAMESPACE \
         --hostname={cluster-name}-console.{ssl-cert-domain}.com
oc create route passthrough -n zen --service=ibm-nginx-svc --port=ibm-nginx-https-port \
         --hostname={cluster-name}-cpd.{ssl-cert-domain}.com
    5. Reinicie todos los pods de la consola Cyclops. El número de réplicas debe ser 3.
      oc scale deployment <deployment-name> --replicas=0
oc scale deployment <deployment-name> --replicas=<number of replicas>
  6. Follow este Cloud Pak for Data guide to set your SSL certificates to the Cloud Pak for Data portal.
    Nota: Cuando realice el paso 7 de la guía, asegúrese de cambiar el nombre de sus certificados SSL a " cert.crt y la clave a " cert.key.