安装双机OMS,主OMS成功，备启动时提示NTP超时

问题背景与现象

安装双机oms，主oms安装成功，安装备oms时报启动ntp超时。

原因分析

在主备oms上分别执行sh /opt/huawei/Bigdata/om-0.0.1/sbin/status-oms.sh，如果看不到对端oms状态信息，基本可以确认是HA证书过期导致。

可通过下面命令查看证书的有效时间以及系统当前时间（GMT时间可以等效于UTC时间）。openssl x509 -in /opt/huawei/Bigdata/om-0.0.1/security/certHA/root-ca.crt -noout –dates。

可以看到系统当前时间已经超过证书有效期，可以确定是HA证书过期导致。

解决办法

使用omm用户在主OMS节点上执行以下命令生成证书私钥（安装场景root安装可以使用root用户执行，非root安装则该步骤可放在执行preset之后）：

openssl genrsa -aes256 -passout pass:$password -out $path/root-ca.pem 2048

其中$password为证书密码，$path为存放私钥和证书文件的路径，下同。

例如：

openssl genrsa -aes256 -passout pass:Changeme_123 -out /home/omm/root-ca.pem 2048

生成root-ca.pem（如果是升级/新安装场景，务必保证 $password是FI证书的默认密码Changeme_123）。

使用omm用户在主OMS节点上执行以下命令生成证书（安装场景root安装可以使用root用户执行，非root安装则该步骤可放在执行preset之后）：

openssl req -passin pass:$password -new -x509 -days $days -key $path/root-ca.pem -sha256 -out $path/root-ca.crt -subj “/C=$country/ST=$state/L=$city/O=$company/OU=$organize/CN=$commonname/emailAddress=$email”

其中，$password为生成私钥时传入的密码，$days为证书的有效期天数，$path为临时存放证书的路径，均可根据实际需要进行配置。

例如：生成证书

openssl req -passin pass:Changeme_123 -new -x509 -days 36500 -key /home/omm/root-ca.pem -sha256 -out /home/omm/root-ca.crt -subj /C=CN/ST=guangdong/L=shenzhen/O=huawei/OU=IT/CN=HADOOP.COM/emailAddress=FI@huawei.com

这样，就在 /home/omm目录下生成了root-ca.crt和root-ca.pem两个文件。

使用安装/升级用户进入到升级/安装包解压后的安装目录(假定用户已经将升级/安装包解压)；

cd升级(安装)包所在目录/FusionInsight/software/om/package解压缩om-0.0.1.tar.gz，

执行下列命令：

tar -zxvf om-0.0.1.tar.gz

替换预置的HA证书。

手工将上面步骤1中生成的root-ca.crt和root-ca.pem拷贝到解压缩后的om-0.0.1/security/certHA/目录下，替换掉目录下原有文件，注意文件权限不变。替换完成后，重新压缩om-0.0.1.tar.gz，注意重新压缩后权限不变。

cd升级包(安装包)所在目录/FusionInsight/software/om/package

rm -f om-0.0.1.tar.gz
tar -czvf om-0.0.1.tar.gz om-0.0.1
rm -rf om-0.0.1

操作完成以后，可以按照正常的流程进行升级或安装操作。