一、概述数据库安装阶段系统会自动创建并启用一套专用 PKI用于外部通信交互。该 PKI 会部署在每一台运行数据库服务的主机同时适配系统内所有租户数据库。 租户专属证书颁发机构CA、由这些 CA 签发的主机 X.509 证书、私钥以及整套客户端 PKI 组件全部存储在数据库证书集合中。 所有证书统一采用SHA-256RSA 4096 位密钥高强度加密签名算法。在 HANA Studio 告警标签页可看到提示信息1 份自有证书或证书链即将到期告警等级为中等。二、问题排查与定位操作前提使用拥有足够权限的SYSTEM账号登录租户数据库执行以下 SQL 查询证书过期时间与证书名称。查询证书全量信息SELECT * FROM CERTIFICATES;查询 PSE 密钥库内证书关联信息SELECT * FROM PSE_CERTIFICATES;查询结果解读查询结果中会出现目标证书_SYS_CLIENTPKI_HOST_CERT客户端 PKI 主机证书文中案例该证书到期时间为 2023 年 8 月 25 日。主机证书说明主机证书用于校验数据库服务身份真实性证书备用名称SAN字段会包含集群内所有 HANA 主机名。_SYS_CLIENTPKI_HOST_CERT主机证书存放在数据库证书仓库并分配至_SYS_CLIENTPKI证书集合用于 SSL 通信。证书默认有效期180 天自动续期触发条件距离到期剩余 32 天系统自动更新HANA 数据库完整重启集群新增 / 移除主机节点。三、关键参数校验执行证书更新前后必须检查global.ini配置文件[communication]段下参数sslclientpki值需设置为on。 该参数开启后客户端 PKI 功能才能正常生效证书、私钥、证书集合才能正常生成与更新。查看参数 SQLSELECT * FROM M_INIFILE_CONTENTS WHERE FILE_NAME global.ini AND SECTION communication AND KEY sslclientpki;若参数为 off执行修改ALTER SYSTEM SET communication.sslclientpki on RECONFIGURE;四、证书手动更新操作步骤适用场景生产环境无法停机重启数据库无法等待系统自动续期使用 SQL 在线刷新证书无需停机。先执行查询确认当前证书到期时间租户库 系统库 SYSTEMDB 均需核查sqlSELECT CERTIFICATE_NAME, SUBJECT_COMMON_NAME, ISSUER_COMMON_NAME, VALID_FROM, VALID_UNTIL, COMMENT FROM CERTIFICATES; SELECT * FROM PSE_CERTIFICATES;登录SYSTEMDB使用 SYSTEM 账号执行证书刷新语句全集群、所有租户同步更新sqlALTER SYSTEM CLIENTPKI UPDATE CERTIFICATES;更新完成后再次执行查询核对VALID_UNTIL有效期已顺延 180 天。证书数据区分说明_SYS_CLIENTPKI_ROOT_CERT客户端 PKI 根证书有效期极长案例中至 2038 年不会触发 130 告警证书用途CHAIN证书链_SYS_CLIENTPKI_HOST_CERT主机自有证书有效期仅 180 天是 130 告警的触发源证书用途OWN自有业务证书五、核心结论主机证书存在自动续期机制到期前 32 天、数据库重启、集群节点变更时自动刷新生产环境无法重启数据库、且未到自动续期时间时直接执行ALTER SYSTEM CLIENTPKI UPDATE CERTIFICATES手动刷新证书消除告警操作前务必确认sslclientpki参数为开启状态否则证书更新失败。参考文章HANA Alert id 130 Check Own Certificate Expiration... - SAP Community
