Quando você implanta o dispositivo VMware Cloud Director, ele gera certificados autoassinados com um período de validade de 365 dias. Se houver certificados prestes a expirar ou já expirados no seu ambiente, você poderá gerar novos certificados autoassinados. Você deve renovar os certificados para cada célula do VMware Cloud Director individualmente.

O dispositivo VMware Cloud Director usa dois conjuntos de certificados SSL. O serviço VMware Cloud Director usa um conjunto de certificados para comunicações de proxy HTTPS e do console. O banco de dados PostgreSQL incorporado e a interface de usuário de gerenciamento do dispositivo VMware Cloud Director compartilham o outro conjunto de certificados SSL.

É possível alterar ambos os conjuntos de certificados autoassinados. Como alternativa, se você usar certificados assinados por CA para as comunicações HTTPS e via proxy do console do VMware Cloud Director, poderá alterar apenas o certificado da interface do usuário de gerenciamento de dispositivo e do banco de dados PostgreSQL incorporado. Certificados assinados por CA incluem uma cadeia de confiança completa enraizada em uma autoridade de certificação pública conhecida.

Pré-requisitos

Procedimento

  1. Faça login diretamente ou conecte-se via SSH ao SO do dispositivo VMware Cloud Director como root.
  2. Para parar os serviços do VMware Cloud Director, execute o seguinte comando.
    /opt/vmware/vcloud-director/bin/cell-management-tool -u administrator cell --shutdown
  3. Gere novos certificados autoassinados para a interface de usuário de gerenciamento de banco de dados e dispositivo ou para a comunicação HTTPS e do proxy do console, o banco de dados e a interface de usuário de gerenciamento do dispositivo.
    • Gere certificados autoassinados somente para o banco de dados PostgreSQL incorporado e a interface de usuário de gerenciamento do dispositivo do VMware Cloud Director, execute:
      /opt/vmware/appliance/bin/generate-certificates.sh <root-password> --skip-vcd-certs

      Esse comando coloca automaticamente em uso os certificados recém-gerados para o banco de dados PostgreSQL incorporado e a UI de gerenciamento de dispositivo. Os servidores PostgreSQL e Nginx são reiniciados.

    • Gere novos certificados autoassinados para comunicação HTTPS e do proxy de console do VMware Cloud Director, além de certificados para o banco de dados PostgreSQL incorporado e a interface de usuário de gerenciamento do dispositivo.
      1. Execute o seguinte comando:
        /opt/vmware/appliance/bin/generate-certificates.sh <root-password>
      2. Se você não estiver usando certificados assinados por CA, execute os comandos para importar os certificados autoassinados recém-gerados para o VMware Cloud Director.
        /opt/vmware/vcloud-director/bin/cell-management-tool certificates -j --cert /opt/vmware/vcloud-director/etc/user.http.pem --key /opt/vmware/vcloud-director/etc/user.http.key --key-password root_password
        /opt/vmware/vcloud-director/bin/cell-management-tool certificates -p --cert /opt/vmware/vcloud-director/etc/user.consoleproxy.pem --key /opt/vmware/vcloud-director/etc/user.consoleproxy.key --key-password root_password
      3. Reinicie o serviço VMware Cloud Director.
        service vmware-vcd start

      Esses comandos colocam automaticamente em uso os certificados recém-gerados para o banco de dados PostgreSQL incorporado e a UI de gerenciamento de dispositivo. Os servidores PostgreSQL e Nginx são reiniciados. Os comandos geram os certificados SSL novos e autoassinados /opt/vmware/vcloud-director/etc/user.http.pem e /opt/vmware/vcloud-director/etc/user.consoleproxy.pem com as chaves privadas /opt/vmware/vcloud-director/etc/user.http.key e /opt/vmware/vcloud-director/etc/user.consoleproxy.key, que são usadas na Etapa 1.

Resultados

Os certificados autoassinados renovados estão visíveis na interface de usuário do VMware Cloud Director.

O novo certificado PostgreSQL será importado para o truststore do VMware Cloud Director em outras células do VMware Cloud Director da próxima vez em que a função appliance-sync for executada. A operação pode demorar até 60 segundos.

O que Fazer Depois

Se necessário, um certificado autoassinado pode ser substituído por um certificado assinado por uma autoridade de certificação externa ou interna.