Strategy ONE

Aktualisieren Sie SSL-Zertifikate auf einem MCP Umgebung

Auf dieser Seite wird gezeigt, wie Sie das SSL-Zertifikat auf dem Load Balancer der Anwendung der Umgebung ändern.

Aktualisieren Sie die SSL-Zertifizierung des Application Load Balancer für die zugrunde liegende Umgebung

  1. Navigieren Sie zur AWS-Konsole > EC2 > Load Balancer.

  2. Wählen Sie den Lastenausgleich der Anwendung für die Umgebung aus, indem Sie nach der Umgebungs-ID suchen.

  3. Wechseln Sie zum Listener Tab.

  4. Wählen Sie den Listener mit der ID von HTTPS aus: 443.

  5. Klicken Sie Zertifikate anzeigen/bearbeiten.

  6. Wechseln Sie zum + in der oberen linken Ecke, um ein aktualisiertes Zertifikat hinzuzufügen.

  7. Wählen Sie aus der Liste der Zertifikate das Zertifikat aus, das importiert werden soll.

  8. Klicken Sie auf Hinzufügen.

    Nachdem der Name erfolgreich hinzugefügt wurde, wird die folgende Meldung angezeigt.

  9. Kehren Sie zum Lastenausgleichsmodul zurück, um die auszuwählen HTTPS:443 Listener.

  10. Klicken Sie auf Bearbeiten.

  11. Wählen Sie aus der Dropdown-Liste SSL-Standardzertifikat das Zertifikat aus, das Sie in Schritt 7 importiert haben.

  12. Klicken Sie Änderungen speichern.

Aktualisieren Sie das SSL-Zertifikat auf dem Collaboration Server auf allen Knoten der Umgebung

  1. Laden Sie nach der Aktualisierung der URL des Lastenausgleichs in AWS oder Azure die PEM-SLS-Zertifikatsdatei in die Linux-Box herunter.

    Für Azure müssen Sie konvertieren .pfx vom Kunden bereitgestellte Datei an pem.

  2. SASH verwenden , um auf die Linux-Umgebung zuzugreifen, und führen Sie den folgenden Befehl aus:

    Kopieren
    cd /opt/usher/ssl

  3. Sichern Sie die vorhandenen ThawteRootCa.crt, server.pem, und server.crt Dateien:

    Kopieren
    cp thawteRootCa.crt thawteRootCa.crt_bak
    cp server.pem server.pem_bak
    cp server.crt server.crt_bak

  4. Platzieren Sie das Zertifikat aus der in Schritt 1 heruntergeladenen Datei in opt/usher/ssl (nur die .pem Datei ist erforderlich) als server.pem.

  5. Fügen Sie das Zertifikat zum Java-Schlüsselspeicher für beide Knoten hinzu:

    Kopieren 
    keytool -noprompt -import -trustcacerts -alias collabcert3 -file /opt/usher/ssl/server.pem

  6. Ändern config.json indem Sie die Einträge für CA, CRT und Intermediate entfernen und nur Verweise auf das Neue einfügen .pem Datei auf beiden Knoten.

  7. Starten Sie den Collaboration Server neu.

  8. Fügen Sie das Zertifikat zu hinzu trusted.jks für MicroStrategey Library, Web und Mobile auf allen Knoten nach der Sicherung:

    Kopieren
    cp /opt/apache/tomcat/latest/webapps/MicroStrategy/WEB-INF/trusted.jks /opt/apache/tomcat/latest/webapps/MicroStrategy/WEB-INF/trusted.jks.bak
    cp /opt/apache/tomcat/latest/webapps/MicroStrategyLibrary/WEB-INF/trusted.jks /opt/apache/tomcat/latest/webapps/MicroStrategyLibrary/WEB-INF/trusted.jks.bak
    cp /opt/apache/tomcat/latest/webapps/MicroStrategyMobile/WEB-INF/trusted.jks /opt/apache/tomcat/latest/webapps/MicroStrategyMobile/WEB-INF/trusted.jks.bak

    keytool -importcert -trustcacerts -alias "mobilenewcert" -keystore /opt/apache/tomcat/latest/webapps/MicroStrategyMobile/WEB-INF/trusted.jks -storepass mstr123 -file /opt/usher/ssl/server.pem
    keytool -importcert -trustcacerts -alias "webnewcert" -keystore /opt/apache/tomcat/latest/webapps/MicroStrategy/WEB-INF/trusted.jks -storepass mstr123 -file /opt/usher/ssl/server.pem
    keytool -importcert -trustcacerts -alias "librarynewcert" -keystore /opt/apache/tomcat/latest/webapps/MicroStrategyLibrary/WEB-INF/trusted.jks -storepass mstr123 -file /opt/usher/ssl/server.pemr

  9. Tomcat neu starten. Bestätigen Sie, ob von Library Admin ein Fehler angezeigt wird und ob Lesezeichen in Library funktionieren.

Konfigurieren Sie den Intelligence Server mit SSL zur Verwendung des neuen Zertifikats und importieren Sie das Zertifikat in Trusted.jks für Strategy Web, Library und Mobile

Nach KB484336 erfordert ein neuer Satz von SSL-Standards, dass das SSL-Zertifikat des Intelligence-Servers einen alternativen Namen oder SAN enthält. Dies war in MicroStrategy 2019 bisher nicht erforderlich. Daher das Zertifikat /opt/usher/ssl/server.crt funktioniert nicht für SSL in MicroStrategy 2020 und neuer. Für den Intelligence Server SSL muss ein neues Zertifikat erstellt werden. Sie müssen SSL aktivieren und manuell ein neues Zertifikat generieren, wie im folgenden Abschnitt beschrieben.

Führen Sie alle folgenden Schritte mit dem Benutzer „mstr“ und nicht mit „Root“ aus.

  1. Verwenden Sie SASH, um auf den Cloud-Computer zuzugreifen.

  2. Rufen Sie Ihre Anmeldeinformationen per E-Mail ab und melden Sie sich beim VNZ-Dienst an.

  3. Wechseln Sie im Dateisystem zu /opt/mstr/MicroStrategy/bin.

  4. Konfigurations-Assistenten starten, der sich in befindet /opt/mstr/MicroStrategy/bin/mstrcfgwiz, unter Verwendung des VCC-Dienstes.

  5. Auswählen Intelligence Server konfigurieren und klicken Sie auf Nächster.

  6. Wählen Sie aus dem DSN-Dropdown den aktuellen Metadaten-DSN aus. Dieses Objekt wurde zuvor erstellt oder prüfen Sie bei cat /opt/mstr/MicroStrategy/MSIReg.reg | grep -E 'DSN=|MetadataLogin'.

  7. Geben Sie ein mstr Benutzernamen und Kennwort eingeben und auf klicken Nächster.

  8. Geben Sie das gleiche Kennwort für ein Administrator Benutzer eingeben und auf klicken Nächster.

  9. Wählen Sie eine vorhandene Serverdefinition aus.

    Für eine parallele oder vorhandene Umgebung können Sie die Serverdefinition abrufen, indem Sie die folgenden ausführen:

    Kopieren 
     /opt/mstr/MicroStrategy/bin/mstrctl -s IntelligenceServer gsic|sed -n '/svrd/p'

  10. Überprüfen Sie die Projektauslastung und die Porteinstellungen und klicken Sie auf Nächster.

    Für den Fall, dass Sie eine Fehlermeldung erhalten, dass der ausgewählte Port ungültig ist oder bereits verwendet wird, lesen Sie KB485344.

  11. Für MicroStrategy 2021 und neuer muss SSL für Umgebungen aktiviert sein.

    Sie können auch überprüfen, ob 39321 wird als SSL-Port in Web-Administrator verwendet oder /opt/apache/tomcat/latest/webapps/MicroStrategy/WEB-INF/xml/sys_defaults.properties Datei.

    Wählen Sie aus SSL konfigurieren Kontrollkästchen aktivieren und das Zertifikat und den Schlüssel verwenden, wie unten gezeigt:

    • Zertifikat: /opt/mstr/MicroStrategy/install/IntelligenceServer/TLS/cert_<HOSTNAME>.customer.cloud.microstrategy.com.pem

    • Schlüssel: /opt/mstr/MicroStrategy/install/IntelligenceServer/TLS/pvtKey_<HOSTNAME>.customer.cloud.microstrategy.com.pem

    • Kennwort: mstr123

    • SSL-Port: 39321

    1. Auswahl aufheben SSL konfigurieren Kontrollkästchen aktivieren und auf klicken Nächster.

    2. Schließt die Konfiguration ab.

    3. Starten Sie die Konfiguration neu. Der Zertifikatspfad wird automatisch zurückgegeben.

      • Korrektes Zertifikat: /opt/mstr/MicroStrategy/install/IntelligenceServer/TLS/cert_<HOSTNAME>.customer.cloud.microstrategy.com.pem

      • Korrekter Schlüssel: /opt/mstr/MicroStrategy/install/IntelligenceServer/TLS/pvtKey_<HOSTNAME>.customer.cloud.microstrategy.com.pem

  12. Auswählen Die vorhandenen Statistikeinstellungen beibehalten und klicken Sie auf Nächster.

  13. Wählen Sie aus Senden Sie Intelligence Server-Telemetriedaten an Platform Analytics Kontrollkästchen.

  14. Eingabetaste <this server IP address>:9092. Geben Sie für Clusterknoten die IP-Adresse von Knoten1 auf beiden Knoten ein (es muss eine ungerade Anzahl von Telemetry Servern vorhanden sein, daher befindet sich diese in einer Umgebung mit 2 Knoten nur auf Knoten1).

  15. Klicken Sie auf Weiter.

  16. Prüfen Sie die Zusammenfassung und klicken Sie auf Übernehmen.

    Die Neukonfiguration des Intelligence-Servers kann eine Weile dauern. Nach erfolgreicher Neukonfiguration wird das folgende Fenster zurückgegeben.

  17. Klicken Sie auf Fertigstellen.

  18. Bei geclusterten Knoten den Vorgang für alle Knoten der Umgebung wiederholen.

Zertifikat in Trusted.jks importieren für Strategy Web, Library und Mobile

Da das Zertifikat für Intelligence Server SSL geändert wurde, müssen Sie das Zertifikat in importieren trusted.jks für Strategy Web, Library und Mobile, um eine Vertrauensstellung zwischen diesen Diensten und dem Intelligence Server herzustellen.

Sie können den aktuellen Wert überprüfen webapps Ordner in der Umgebung, um zu sehen, ob benutzerdefinierte Ordner vorhanden sind:

Kopieren 
ls /opt/apache/tomcat/latest/webapps/

  1. Wechseln Sie zu jedem der folgenden Pfade. Führen Sie ihn bei Clusterknoten auf jedem Knoten und jeder Web-, Library- und Mobile-Web-App durch.

    • Web: /opt/apache/tomcat/latest/webapps/MicroStrategy*/WEB-INF

    • Bibliothek: /opt/apache/tomcat/latest/webapps/MicroStrategyMobile*/WEB-INF

    • Mobile: /opt/apache/tomcat/latest/webapps/MicroStrategyLibrary*/WEB-INF

    Zum Beispiel:

    Kopieren 
    cd /opt/apache/tomcat/latest/webapps/MicroStrategySTD/WEB-INF

  2. Eine Sicherung des aktuellen Zertifikats erstellen:

    Kopieren 
    cp trusted.jks trusted.jks.bak

  3. Führen Sie den folgenden Befehl aus und geben Sie ein yes auf die Frage, ob Sie diesem Zertifikat vertrauen.

    Kopieren 
    keytool -importcert -trustcacerts -alias "rootca_new" -keystore trusted.jks -storepass mstr123 -file /opt/mstr/MicroStrategy/install/IntelligenceServer/TLS/cert_env-hostname.mstrci.com.pem

    Zum Beispiel:

    Kopieren 
    keytool -importcert -trustcacerts -alias "rootca_new" -keystore /opt/apache/tomcat/latest/webapps/MicroStrategy/WEB-INF/trusted.jks -storepass mstr123 -file /opt/mstr/MicroStrategy/install/IntelligenceServer/TLS/cert_*.pem -noprompt

    Wenn trusted.jsk fehlt, z. B. in der Mobile-Web-App, kopieren Sie sie aus MicroStrategy.

    Beispiel

    Führen Sie die folgenden Skripts für einen einzelnen Knoten und nur drei Standard-Web-Apps einzeln aus, um eine Sicherung des JKS-Zertifikats zu erstellen und es dem Schlüsselspeicher hinzuzufügen:

    Kopieren 
    cp /opt/apache/tomcat/latest/webapps/MicroStrategy/WEB-INF/trusted.jks /opt/apache/tomcat/latest/webapps/MicroStrategy/WEB-INF/trusted.jks.bak
    cp /opt/apache/tomcat/latest/webapps/MicroStrategyLibrary/WEB-INF/trusted.jks /opt/apache/tomcat/latest/webapps/MicroStrategyLibrary/WEB-INF/trusted.jks.bak
    cp /opt/apache/tomcat/latest/webapps/MicroStrategyMobile/WEB-INF/trusted.jks /opt/apache/tomcat/latest/webapps/MicroStrategyMobile/WEB-INF/trusted.jks.bak

    keytool -importcert -trustcacerts -alias "rootca_new" -keystore /opt/apache/tomcat/latest/webapps/MicroStrategy/WEB-INF/trusted.jks -storepass mstr123 -file /opt/mstr/MicroStrategy/install/IntelligenceServer/TLS/cert_*.pem -noprompt
    keytool -importcert -trustcacerts -alias "rootca_new" -keystore /opt/apache/tomcat/latest/webapps/MicroStrategyLibrary/WEB-INF/trusted.jks -storepass mstr123 -file /opt/mstr/MicroStrategy/install/IntelligenceServer/TLS/cert_*.pem -noprompt
    keytool -importcert -trustcacerts -alias "rootca_new" -keystore /opt/apache/tomcat/latest/webapps/MicroStrategyMobile/WEB-INF/trusted.jks -storepass mstr123 -file /opt/mstr/MicroStrategy/install/IntelligenceServer/TLS/cert_*.pem -noprompt

    Knoten 1

    Kopieren 
    keytool -importcert -trustcacerts -alias "rootca_1" -keystore trusted.jks -storepass mstr123 -file /opt/mstr/MicroStrategy/install/IntelligenceServer/TLS/cert_<HOSTNAME>.customer.cloud.microstrategy.com.pem

    Knoten 2

    Kopieren 
    keytool -importcert -trustcacerts -alias "rootca_2" -keystore trusted.jks -storepass mstr123 -file /opt/mstr/MicroStrategy/install/IntelligenceServer/TLS/cert_<HOSTNAME>.customer.cloud.microstrategy.com.pem

    cert_<HOSTNAME>.customer.cloud.microstrategy.com.pem ist das Zertifikat, das erstellt wurde, als der Intelligence Server konfiguriert wurde.

  4. Tomcat auf jedem Knoten neu starten:

    Kopieren
    service mstr tomcatrestart

  5. Starten Sie den Modellierungsdienst auf jedem Knoten neu:

    Kopieren
    /opt/mstr/MicroStrategy/install/ModelingService/bin/modelservice.sh restart