Atualizar certificados SSL em um MCP Ambiente

Esta página mostra como alterar o certificado SSL no balanceador de carga de aplicativos do ambiente.

• Atualize a certificação SSL no Application Load Balancer para o ambiente subjacente

• Atualize o certificado SSL no Collaboration Server

• Configure o Intelligence Server com SSL para usar o novo certificado e importar certificado para trusted.jks para Strategy Web, Library e Mobile

Atualize a certificação SSL no balanceador de carga de aplicativos para o ambiente subjacente

1. Navegue até o Console AWS > EC2 > Balanceador de carga de .

2. Selecione o balanceador de carga de aplicativos para o ambiente pesquisando o ID do ambiente.

3. Ir para o Ouvintes aba.

4. Selecione o listener com o ID HTTPS: 443.

5. Clique em Ver/editar certificados de .

   

6. Ir para o + no canto superior esquerdo para adicionar um certificado atualizado.

   

7. Na lista de certificados, selecione aquele que deseja importar.

   

8. Clique em Adicionar.

   

   Depois de ser adicionado com sucesso, a seguinte mensagem será exibida.

   

9. Volte para o balanceador de carga para selecionar o HTTPS:443 listener.

   

10. Clique em Editar.

    

11. Na lista suspensa Certificado SSL padrão, escolha o certificado que você importou na etapa 7.

    

12. Clique em Salvar alterações de .

Atualize o certificado SSL no Collaboration Server em todos os nós do ambiente

1. Depois de atualizar a URL do balanceador de carga na AWS ou no Azure, baixe o arquivo de certificado pem SSL para o Linux.

   Para o Azure, você deve converter o .pfx arquivo fornecido pelo cliente para pem.

2. Usar SSH para acessar o ambiente Linux e execute o seguinte comando:
   Copiar

   cd /opt/usher/ssl

3. Fazer backup do existente ThawteRootCa.crt, server.pem, e server.crt arquivos:
   Copiar

   cp thawteRootCa.crt thawteRootCa.crt_bak
   cp server.pem server.pem_bak
   cp server.crt server.crt_bak

4. No arquivo baixado na etapa 1, coloque o certificado em opt/usher/ssl (somente o .pem arquivo é obrigatório) como server.pem.

5. Adicione o certificado ao keystore Java para os dois nós:

   Copiar

   keytool -noprompt -import -trustcacerts -alias collabcert3 -file /opt/usher/ssl/server.pem

6. Modificar config.json removendo as entradas para CA, crt e intermediário e somente colocando referências ao novo .pem em ambos os nós.

7. Reinicie o Collaboration Server.

8. Adicionar o certificado a trusted.jks para MicroStrategey Library, Web, e Mobile em todos os nós após fazer o backup:

   Copiar

   cp /opt/apache/tomcat/latest/webapps/MicroStrategy/WEB-INF/trusted.jks /opt/apache/tomcat/latest/webapps/MicroStrategy/WEB-INF/trusted.jks.bak
   cp /opt/apache/tomcat/latest/webapps/MicroStrategyLibrary/WEB-INF/trusted.jks /opt/apache/tomcat/latest/webapps/MicroStrategyLibrary/WEB-INF/trusted.jks.bak
   cp /opt/apache/tomcat/latest/webapps/MicroStrategyMobile/WEB-INF/trusted.jks /opt/apache/tomcat/latest/webapps/MicroStrategyMobile/WEB-INF/trusted.jks.bak
   
   keytool -importcert -trustcacerts -alias "mobilenewcert" -keystore /opt/apache/tomcat/latest/webapps/MicroStrategyMobile/WEB-INF/trusted.jks -storepass mstr123 -file /opt/usher/ssl/server.pem
   keytool -importcert -trustcacerts -alias "webnewcert" -keystore /opt/apache/tomcat/latest/webapps/MicroStrategy/WEB-INF/trusted.jks -storepass mstr123 -file /opt/usher/ssl/server.pem
   keytool -importcert -trustcacerts -alias "librarynewcert" -keystore /opt/apache/tomcat/latest/webapps/MicroStrategyLibrary/WEB-INF/trusted.jks -storepass mstr123 -file /opt/usher/ssl/server.pemr

9. Reinicie o tomcat. Confirme se o administrador do Library exibe algum erro e se os indicadores estão funcionando no Library.

Configurar o Intelligence Server com SSL para usar o novo certificado e importar o certificado para Trust.jks para Strategy Web, Library e Mobile

De acordo com KB484336, um novo conjunto de padrões SSL exige que o certificado SSL do Intelligence Server inclua um subjectAlternativeName, ou SAN. Isso não era exigido anteriormente no MicroStrategy 2019. Assim, o certificado /opt/usher/ssl/server.crt não funciona para SSL no MicroStrategy 2020 e posteriores. Um novo certificado deve ser gerado para o Intelligence Server SSL. Você deve habilitar o SSL e gerar manualmente um novo certificado, conforme descrito na seção a seguir.

Execute todas as etapas a seguir com o usuário mstr, e não como root.

1. Use SSH para acessar a máquina na nuvem.

2. Obtenha suas credenciais no e-mail e faça login no serviço VNC.

   

3. Em Sistema de arquivos, acesse /opt/mstr/MicroStrategy/bin.

   

4. Inicie o Assistente de configuração, localizado em /opt/mstr/MicroStrategy/bin/mstrcfgwiz, usando o serviço VNC.

5. Escolher Configurar Intelligence Server e clique em Seguinte de .

   

6. Na lista suspensa DSN, selecione o DSN de metadados atual. Este foi criado anteriormente, ou verifique com cat /opt/mstr/MicroStrategy/MSIReg.reg | grep -E 'DSN=|MetadataLogin'.

7. Insira o mstr nome de usuário e senha e clique em Seguinte de .

   

8. Digite a mesma senha para o Administrator usuário e clique em Seguinte de .

   

9. Escolha uma definição de servidor existente.

   Para um ambiente paralelo ou existente, você pode obter a definição do servidor executando o seguinte:

   Copiar

    /opt/mstr/MicroStrategy/bin/mstrctl -s IntelligenceServer gsic|sed -n '/svrd/p'

   

10. Verifique as configurações de porta e carregamento do projeto e clique em Seguinte de .

    Caso você receba um erro informando que a porta escolhida é inválida ou já está em uso, consulte KB485344 de .

    

11. Para MicroStrategy 2021 e posteriores, o SSL deve estar habilitado para os ambientes.

    Também é possível verificar se 39321 é usada como a porta SSL no Administrador da web ou a /opt/apache/tomcat/latest/webapps/MicroStrategy/WEB-INF/xml/sys_defaults.properties arquivo .

    Clique aqui se 39321 está definido em Web.

    Selecione o Configurar SSL caixa de seleção e use o certificado e a chave, como mostrado abaixo:

    • Certificado: /opt/mstr/MicroStrategy/install/IntelligenceServer/TLS/cert_<HOSTNAME>.customer.cloud.microstrategy.com.pem

    • Chave: /opt/mstr/MicroStrategy/install/IntelligenceServer/TLS/pvtKey_<HOSTNAME>.customer.cloud.microstrategy.com.pem

    • Senha: mstr123

    • Porta SSL: 39321

    

    Clique aqui se o /opt/usher/ssl/server.crt e /opt/usher/ssl/server.key caminhos são usados.

    1. Desmarque o Configurar SSL caixa de seleção e clique em Seguinte de .

       

    2. Conclua a configuração.

       

       

    3. Reinicie a configuração. O caminho do certificado é retornado automaticamente.

       • Certificado correto: /opt/mstr/MicroStrategy/install/IntelligenceServer/TLS/cert_<HOSTNAME>.customer.cloud.microstrategy.com.pem

       • Chave correta: /opt/mstr/MicroStrategy/install/IntelligenceServer/TLS/pvtKey_<HOSTNAME>.customer.cloud.microstrategy.com.pem

12. Selecionar Manter as configurações de estatísticas existentes e clique em Seguinte de .

    

13. Selecione o Enviar telemetria do Intelligence Server para o Platform Analytics caixa de seleção.

14. Enter <this server IP address>:9092. Para nós do cluster, insira o endereço IP do node1 em ambos os nós (deve haver um número ímpar de servidores de telemetria, portanto, para um ambiente de 2 nós, é apenas no node1).

    

15. Clique em Próximo.

16. Revise o resumo e clique em Aplicar de .

    

    A reconfiguração do Intelligence Server pode demorar um pouco. Após a reconfiguração bem-sucedida, a seguinte janela será retornada.

    

17. Clique em Concluir.

18. Para nós clusterizados, repita em todos os nós do ambiente.

Importar certificado para Trust.jks para Strategy Web, Library e Mobile

Como o certificado foi alterado para o Intelligence Server SSL, você deve importar o certificado para trusted.jks para Strategy Web, Library e Mobile para estabelecer confiança entre esses serviços e o Intelligence Server.

Você pode verificar o atual webapps no ambiente para ver se há alguma personalizada:

ls /opt/apache/tomcat/latest/webapps/

1. Acesse cada um dos seguintes caminhos. Para nós do cluster, execute-o em cada nó e em cada aplicativo da Web, Library e Mobile.

   • Web: /opt/apache/tomcat/latest/webapps/MicroStrategy*/WEB-INF

   • Library: /opt/apache/tomcat/latest/webapps/MicroStrategyMobile*/WEB-INF

   • Mobile: /opt/apache/tomcat/latest/webapps/MicroStrategyLibrary*/WEB-INF

   Por exemplo:

   Copiar

   cd /opt/apache/tomcat/latest/webapps/MicroStrategySTD/WEB-INF

2. Faça um backup do certificado atual:

   Copiar

   cp trusted.jks trusted.jks.bak

3. Execute o seguinte comando e digite yes quando perguntado se você confia neste certificado.

   Clique aqui para ver um único nó.
   

   Copiar

   keytool -importcert -trustcacerts -alias "rootca_new" -keystore trusted.jks -storepass mstr123 -file /opt/mstr/MicroStrategy/install/IntelligenceServer/TLS/cert_env-hostname.mstrci.com.pem

   Por exemplo:

   Copiar

   keytool -importcert -trustcacerts -alias "rootca_new" -keystore /opt/apache/tomcat/latest/webapps/MicroStrategy/WEB-INF/trusted.jks -storepass mstr123 -file /opt/mstr/MicroStrategy/install/IntelligenceServer/TLS/cert_*.pem -noprompt

   Se trusted.jsk está ausente, por exemplo, no aplicativo da web Mobile, copie-o de MicroStrategy.

   Exemplo

   Para um único nó e somente três aplicativos da web padrão, execute os seguintes scripts individualmente para fazer backup do certificado jks e adicioná-lo ao keystore:

   Copiar

   cp /opt/apache/tomcat/latest/webapps/MicroStrategy/WEB-INF/trusted.jks /opt/apache/tomcat/latest/webapps/MicroStrategy/WEB-INF/trusted.jks.bak
   cp /opt/apache/tomcat/latest/webapps/MicroStrategyLibrary/WEB-INF/trusted.jks /opt/apache/tomcat/latest/webapps/MicroStrategyLibrary/WEB-INF/trusted.jks.bak
   cp /opt/apache/tomcat/latest/webapps/MicroStrategyMobile/WEB-INF/trusted.jks /opt/apache/tomcat/latest/webapps/MicroStrategyMobile/WEB-INF/trusted.jks.bak
   
   keytool -importcert -trustcacerts -alias "rootca_new" -keystore /opt/apache/tomcat/latest/webapps/MicroStrategy/WEB-INF/trusted.jks -storepass mstr123 -file /opt/mstr/MicroStrategy/install/IntelligenceServer/TLS/cert_*.pem -noprompt
   keytool -importcert -trustcacerts -alias "rootca_new" -keystore /opt/apache/tomcat/latest/webapps/MicroStrategyLibrary/WEB-INF/trusted.jks -storepass mstr123 -file /opt/mstr/MicroStrategy/install/IntelligenceServer/TLS/cert_*.pem -noprompt
   keytool -importcert -trustcacerts -alias "rootca_new" -keystore /opt/apache/tomcat/latest/webapps/MicroStrategyMobile/WEB-INF/trusted.jks -storepass mstr123 -file /opt/mstr/MicroStrategy/install/IntelligenceServer/TLS/cert_*.pem -noprompt

   Clique aqui para ver um nó clusterizado.
   

   Nó 1

   Copiar

   keytool -importcert -trustcacerts -alias "rootca_1" -keystore trusted.jks -storepass mstr123 -file /opt/mstr/MicroStrategy/install/IntelligenceServer/TLS/cert_<HOSTNAME>.customer.cloud.microstrategy.com.pem

   Nó 2

   Copiar

   keytool -importcert -trustcacerts -alias "rootca_2" -keystore trusted.jks -storepass mstr123 -file /opt/mstr/MicroStrategy/install/IntelligenceServer/TLS/cert_<HOSTNAME>.customer.cloud.microstrategy.com.pem

   cert_<HOSTNAME>.customer.cloud.microstrategy.com.pem é o certificado criado quando o Intelligence Server foi configurado.

4. Reinicie o tomcat em cada nó:
   Copiar

   service mstr tomcatrestart

5. Reinicie o Modeling Service em cada nó:
   Copiar

   /opt/mstr/MicroStrategy/install/ModelingService/bin/modelservice.sh restart