Actualizar certificados SSL en un MCP Entorno

Esta página muestra cómo cambiar el certificado SSL en el equilibrador de carga de la aplicación del entorno.

• Actualizar la certificación SSL en el equilibrador de carga de aplicaciones del entorno subyacente

• Actualizar el certificado SSL en el servidor de Colaboración

• Configurar Intelligence Server con SSL para utilizar el nuevo certificado y importar certificado en trusted.jks para Strategy Web, Library y Mobile

Actualizar la certificación SSL en el equilibrador de carga de aplicaciones para el entorno subyacente

1. Navegue hasta la consola de AWS > EC2 > Equilibrador de carga.

2. Para seleccionar el equilibrador de carga de aplicaciones para el entorno, busque el ID del entorno.

3. Ir a la Oyentes pestaña

4. Seleccione el agente de escucha con el ID de HTTPS: 443.

5. Haga clic en Ver/editar certificados.

   

6. Ir a la + en la esquina superior izquierda para agregar un certificado actualizado.

   

7. En la lista de certificados, seleccione el certificado que desee importar.

   

8. Haga clic en Agregar.

   

   Una vez añadido correctamente, aparecerá el siguiente mensaje.

   

9. Vuelva al equilibrador de carga para seleccionar el HTTPS:443 agente de escucha.

   

10. Haga clic en Modificar.

    

11. En la lista desplegable Certificado SSL por defecto, elija el certificado que importó en el paso 7.

    

12. Haga clic en Guardar cambios.

Actualizar el certificado SSL del servidor de Colaboración en todos los nodos del entorno

1. Después de actualizar la URL del equilibrador de carga en AWS o Azure, descargue el archivo del certificado pem SSL en la caja de Linux.

   Para Azure, debe convertir el .pfx proporcionado por el cliente a pem.

2. Usar SSH para acceder al entorno Linux y ejecute el siguiente comando:
   Copiar

   cd /opt/usher/ssl

3. Haga una copia de seguridad de lo existente ThawteRootCa.crt, server.pemy server.crt archivos:
   Copiar

   cp thawteRootCa.crt thawteRootCa.crt_bak
   cp server.pem server.pem_bak
   cp server.crt server.crt_bak

4. Desde el archivo descargado en el paso 1, coloque el certificado en opt/usher/ssl (solo los .pem (se requiere un archivo) como server.pem.

5. Añada el certificado al almacén de claves de Java para ambos nodos:

   Copiar

   keytool -noprompt -import -trustcacerts -alias collabcert3 -file /opt/usher/ssl/server.pem

6. Modificar config.json eliminando las entradas para CA, crt e intermedia y colocando solo las referencias a la nueva .pem en ambos nodos.

7. Reinicie el servidor de Colaboración.

8. Agregar el certificado a trusted.jks para MicroStrategey Library, Web y Mobile en todos los nodos después de realizar la copia de seguridad:

   Copiar

   cp /opt/apache/tomcat/latest/webapps/MicroStrategy/WEB-INF/trusted.jks /opt/apache/tomcat/latest/webapps/MicroStrategy/WEB-INF/trusted.jks.bak
   cp /opt/apache/tomcat/latest/webapps/MicroStrategyLibrary/WEB-INF/trusted.jks /opt/apache/tomcat/latest/webapps/MicroStrategyLibrary/WEB-INF/trusted.jks.bak
   cp /opt/apache/tomcat/latest/webapps/MicroStrategyMobile/WEB-INF/trusted.jks /opt/apache/tomcat/latest/webapps/MicroStrategyMobile/WEB-INF/trusted.jks.bak
   
   keytool -importcert -trustcacerts -alias "mobilenewcert" -keystore /opt/apache/tomcat/latest/webapps/MicroStrategyMobile/WEB-INF/trusted.jks -storepass mstr123 -file /opt/usher/ssl/server.pem
   keytool -importcert -trustcacerts -alias "webnewcert" -keystore /opt/apache/tomcat/latest/webapps/MicroStrategy/WEB-INF/trusted.jks -storepass mstr123 -file /opt/usher/ssl/server.pem
   keytool -importcert -trustcacerts -alias "librarynewcert" -keystore /opt/apache/tomcat/latest/webapps/MicroStrategyLibrary/WEB-INF/trusted.jks -storepass mstr123 -file /opt/usher/ssl/server.pemr

9. Reinicie tomcat. Confirme si el administrador de Library muestra algún error y si los marcadores funcionan en Library.

Configurar Intelligence Server con SSL para utilizar el nuevo certificado e importar el certificado en trusted.jks para Strategy Web, Library y Mobile

Según KB484336, un nuevo conjunto de estándares SSL requiere que el certificado SSL de Intelligence Server incluya un asuntoAlternativeName o SAN. Anteriormente no era necesario en MicroStrategy 2019. Por lo tanto, el certificado /opt/usher/ssl/server.crt no funciona para SSL en MicroStrategy 2020 y posteriores. Debe generarse un nuevo certificado para SSL de Intelligence Server. Debe habilitar SSL y generar manualmente un nuevo certificado, tal y como se describe en la siguiente sección.

Ejecute todos los pasos siguientes con el usuario mstr y no con el usuario root.

1. Utilice SSH para acceder al equipo en la nube.

2. Obtenga las credenciales de su correo electrónico e inicie sesión en el servicio VNC.

   

3. En Sistema de archivos, vaya a /opt/mstr/MicroStrategy/bin.

   

4. Iniciar asistente de configuración, ubicado en /opt/mstr/MicroStrategy/bin/mstrcfgwiz, utilizando el servicio VNC.

5. Seleccionar Configurar Intelligence Server y haga clic en Siguiente.

   

6. En el menú desplegable DSN, seleccione el DSN de metadatos actual. Esto se creó anteriormente o consulte con cat /opt/mstr/MicroStrategy/MSIReg.reg | grep -E 'DSN=|MetadataLogin'.

7. Introduzca el mstr nombre de usuario y contraseña y haga clic en Siguiente.

   

8. Introduzca la misma contraseña para el Administrator usuario y haga clic en Siguiente.

   

9. Elija una definición de servidor existente.

   Para un entorno paralelo o existente, puede obtener la definición de servidor ejecutando lo siguiente:

   Copiar

    /opt/mstr/MicroStrategy/bin/mstrctl -s IntelligenceServer gsic|sed -n '/svrd/p'

   

10. Compruebe la carga del proyecto y la configuración de la migración y haga clic en Siguiente.

    En caso de que reciba un error que indica que un puerto elegido no es válido o que ya está en uso, consulte KB485344.

    

11. Para MicroStrategy 2021 y posterior, SSL debe estar habilitado para los entornos.

    También puede comprobar si 39321 se utiliza como puerto SSL en Web Admin o el puerto SSL /opt/apache/tomcat/latest/webapps/MicroStrategy/WEB-INF/xml/sys_defaults.properties archivo.

    Haga clic aquí si 39321 está configurado en Web.

    Seleccione la Configurar SSL y utilice el certificado y la clave, como se muestra a continuación:

    • Certificado: /opt/mstr/MicroStrategy/install/IntelligenceServer/TLS/cert_<HOSTNAME>.customer.cloud.microstrategy.com.pem

    • Clave: /opt/mstr/MicroStrategy/install/IntelligenceServer/TLS/pvtKey_<HOSTNAME>.customer.cloud.microstrategy.com.pem

    • Contraseña: mstr123

    • Puerto SSL: 39321

    

    Haga clic aquí si el /opt/usher/ssl/server.crt y /opt/usher/ssl/server.key se han utilizado las rutas de acceso.

    1. Anular la selección de Configurar SSL y haga clic en Siguiente.

       

    2. Complete la configuración.

       

       

    3. Reinicie la configuración. La ruta del certificado se devuelve automáticamente.

       • Certificado correcto: /opt/mstr/MicroStrategy/install/IntelligenceServer/TLS/cert_<HOSTNAME>.customer.cloud.microstrategy.com.pem

       • Clave correcta: /opt/mstr/MicroStrategy/install/IntelligenceServer/TLS/pvtKey_<HOSTNAME>.customer.cloud.microstrategy.com.pem

12. Seleccionar Mantener la configuración de estadísticas actual y haga clic en Siguiente.

    

13. Seleccione la Enviar telemetría de Intelligence Server a Platform Analytics casilla de verificación.

14. Intro <this server IP address>:9092. Para los nodos del clúster, introduzca la dirección IP del nodo1 en ambos nodos (debe haber un número impar de servidores de Telemetría; por lo tanto, para un entorno de 2 nodos, el número es solo en el nodo1).

    

15. Haga clic en Siguiente.

16. Revise el resumen y haga clic en Aplicar.

    

    La reconfiguración de Intelligence Server puede tardar algunos momentos. Tras una reconfiguración correcta, se muestra la siguiente ventana.

    

17. Haga clic en Finalizar.

18. Para los nodos agrupados, repita en todos los nodos del entorno.

Importar certificado a trusted.jks para Strategy Web, Library y Mobile

Dado que el certificado se ha cambiado para el Intelligence Server SSL, debe importar el certificado a trusted.jks para Strategy Web, Library y Mobile para establecer la confianza entre estos servicios y el Intelligence Server.

Puede comprobar el actual webapps en el entorno para ver si hay personalizados:

ls /opt/apache/tomcat/latest/webapps/

1. Vaya a cada una de las siguientes rutas. Para los nodos del clúster, realícelo en cada nodo y en cada Web, Library y aplicación web Mobile.

   • Web: /opt/apache/tomcat/latest/webapps/MicroStrategy*/WEB-INF

   • Biblioteca: /opt/apache/tomcat/latest/webapps/MicroStrategyMobile*/WEB-INF

   • Mobile: /opt/apache/tomcat/latest/webapps/MicroStrategyLibrary*/WEB-INF

   Por ejemplo:

   Copiar

   cd /opt/apache/tomcat/latest/webapps/MicroStrategySTD/WEB-INF

2. Haga una copia de seguridad del certificado actual:

   Copiar

   cp trusted.jks trusted.jks.bak

3. Ejecute el siguiente comando y escriba yes cuando se le pregunte si confía en este certificado.

   Haga clic aquí para un solo nodo.
   

   Copiar

   keytool -importcert -trustcacerts -alias "rootca_new" -keystore trusted.jks -storepass mstr123 -file /opt/mstr/MicroStrategy/install/IntelligenceServer/TLS/cert_env-hostname.mstrci.com.pem

   Por ejemplo:

   Copiar

   keytool -importcert -trustcacerts -alias "rootca_new" -keystore /opt/apache/tomcat/latest/webapps/MicroStrategy/WEB-INF/trusted.jks -storepass mstr123 -file /opt/mstr/MicroStrategy/install/IntelligenceServer/TLS/cert_*.pem -noprompt

   Si trusted.jsk falta; por ejemplo, en la aplicación Web Mobile, cópielo de MicroStrategy.

   Ejemplo

   Para un solo nodo y solo tres aplicaciones web predeterminadas, ejecute los siguientes scripts de forma individual para hacer una copia de seguridad del certificado jks y añadirlo al almacén de claves:

   Copiar

   cp /opt/apache/tomcat/latest/webapps/MicroStrategy/WEB-INF/trusted.jks /opt/apache/tomcat/latest/webapps/MicroStrategy/WEB-INF/trusted.jks.bak
   cp /opt/apache/tomcat/latest/webapps/MicroStrategyLibrary/WEB-INF/trusted.jks /opt/apache/tomcat/latest/webapps/MicroStrategyLibrary/WEB-INF/trusted.jks.bak
   cp /opt/apache/tomcat/latest/webapps/MicroStrategyMobile/WEB-INF/trusted.jks /opt/apache/tomcat/latest/webapps/MicroStrategyMobile/WEB-INF/trusted.jks.bak
   
   keytool -importcert -trustcacerts -alias "rootca_new" -keystore /opt/apache/tomcat/latest/webapps/MicroStrategy/WEB-INF/trusted.jks -storepass mstr123 -file /opt/mstr/MicroStrategy/install/IntelligenceServer/TLS/cert_*.pem -noprompt
   keytool -importcert -trustcacerts -alias "rootca_new" -keystore /opt/apache/tomcat/latest/webapps/MicroStrategyLibrary/WEB-INF/trusted.jks -storepass mstr123 -file /opt/mstr/MicroStrategy/install/IntelligenceServer/TLS/cert_*.pem -noprompt
   keytool -importcert -trustcacerts -alias "rootca_new" -keystore /opt/apache/tomcat/latest/webapps/MicroStrategyMobile/WEB-INF/trusted.jks -storepass mstr123 -file /opt/mstr/MicroStrategy/install/IntelligenceServer/TLS/cert_*.pem -noprompt

   Haga clic aquí para ver un nodo en clúster.
   

   Nodo 1

   Copiar

   keytool -importcert -trustcacerts -alias "rootca_1" -keystore trusted.jks -storepass mstr123 -file /opt/mstr/MicroStrategy/install/IntelligenceServer/TLS/cert_<HOSTNAME>.customer.cloud.microstrategy.com.pem

   Nodo 2

   Copiar

   keytool -importcert -trustcacerts -alias "rootca_2" -keystore trusted.jks -storepass mstr123 -file /opt/mstr/MicroStrategy/install/IntelligenceServer/TLS/cert_<HOSTNAME>.customer.cloud.microstrategy.com.pem

   cert_<HOSTNAME>.customer.cloud.microstrategy.com.pem es el certificado creado cuando se configuró Intelligence Server.

4. Reinicie tomcat en cada nodo:
   Copiar

   service mstr tomcatrestart

5. Reinicie el servicio de modelado en cada nodo:
   Copiar

   /opt/mstr/MicroStrategy/install/ModelingService/bin/modelservice.sh restart