Renovar os certificados do dispositivo do VMware Cloud Director para a versão 10.4

Quando você implanta o dispositivo VMware Cloud Director, ele gera certificados autoassinados com um período de validade de 365 dias. Se houver certificados prestes a expirar ou já expirados no seu ambiente, você poderá gerar novos certificados autoassinados. Você deve renovar os certificados para cada célula do VMware Cloud Director individualmente. O procedimento para a versão 10.4 inclui as configurações de proxy do console.

Se quiser renovar os certificados do dispositivo do VMware Cloud Director para a versão 10.4.1 ou posterior, consulte Renovar os certificados do dispositivo do VMware Cloud Director para a versão 10.4.1 e posterior.

A partir do VMware Cloud Director 10.4, o serviço do VMware Cloud Director usa um certificado para comunicações HTTPS e de proxy do console. O banco de dados PostgreSQL incorporado e a interface de usuário de gerenciamento do dispositivo do VMware Cloud Director compartilham o outro certificado SSL.

Observação: O VMware Cloud Director 10.4.1 e posterior não oferece suporte à implementação herdada do recurso de proxy do console.

Para o VMware Cloud Director 10.4, se você quiser usar a implementação herdada com um ponto de acesso de proxy de console dedicado, poderá ativar o recurso LegacyConsoleProxy no menu de configurações de Sinalizadores de Recurso na guia Administração do Service Provider Admin Portal. Para habilitar o recurso LegacyConsoleProxy, sua instalação ou implantação deve ter as configurações de proxy do console configuradas em uma versão anterior e transferidas por meio de um upgrade do VMware Cloud Director. Depois de ativar ou desativar o recurso, você deverá reiniciar as células. Ao ativar a implementação de proxy do console herdado, o proxy do console deverá ter um certificado separado.

Você pode alterar todos os certificados autoassinados. Como alternativa, se você usar um certificado assinado por CA para as comunicações HTTPS e via proxy do console do VMware Cloud Director, poderá alterar apenas o certificado da UI de gerenciamento de dispositivo e do banco de dados PostgreSQL incorporado. Certificados assinados por CA incluem uma cadeia de confiança completa enraizada em uma autoridade de certificação pública conhecida.

Pré-requisitos

Para verificar se o procedimento relevante para as necessidades do seu ambiente, familiarize-se com o Criação e gerenciamento de certificado SSL do dispositivo do VMware Cloud Director.
Se você estiver renovando o certificado para o nó primário em um cluster de alta disponibilidade de banco de dados, execute o comando opt/vmware/vcloud-director/bin/cell-management-tool cell -m da ferramenta de gerenciamento de célula para colocar todos os outros nós no modo de manutenção e evitar perda de dados. Consulte Como gerenciar uma célula.
Se o modo FIPS estiver habilitado, a senha raiz do dispositivo deverá conter 14 caracteres ou mais. Consulte Alterar a senha raiz do dispositivo do VMware Cloud Director 10.4.1 ou posterior.

Procedimento

Faça login diretamente ou conecte-se via SSH ao SO do dispositivo VMware Cloud Director como root.

Para parar os serviços do VMware Cloud Director, execute o seguinte comando.

/opt/vmware/vcloud-director/bin/cell-management-tool -u administrator cell --shutdown

Gere novos certificados autoassinados para a interface de usuário de gerenciamento de banco de dados e dispositivo ou para a comunicação HTTPS e do proxy do console, o banco de dados e a interface de usuário de gerenciamento do dispositivo.
- Gere certificados autoassinados somente para o banco de dados PostgreSQL incorporado e a interface de usuário de gerenciamento do dispositivo do VMware Cloud Director, execute:
```
/opt/vmware/appliance/bin/generate-certificates.sh <root-password> --skip-vcd-certs
```
  Esse comando coloca automaticamente em uso os certificados recém-gerados para o banco de dados PostgreSQL incorporado e a UI de gerenciamento de dispositivo. Os servidores PostgreSQL e Nginx são reiniciados.
- Gere novos certificados autoassinados para comunicação HTTPS e do proxy de console do VMware Cloud Director, além de certificados para o banco de dados PostgreSQL incorporado e a interface de usuário de gerenciamento do dispositivo.
  1. Execute o seguinte comando:
```
/opt/vmware/appliance/bin/generate-certificates.sh <root-password>
```
  2. Se você não estiver usando certificados assinados por CA, execute os comandos para importar os certificados autoassinados recém-gerados para o VMware Cloud Director.
```
/opt/vmware/vcloud-director/bin/cell-management-tool certificates -j --cert /opt/vmware/vcloud-director/etc/user.http.pem --key /opt/vmware/vcloud-director/etc/user.http.key --key-password root_password
/opt/vmware/vcloud-director/bin/cell-management-tool certificates -p --cert /opt/vmware/vcloud-director/etc/user.consoleproxy.pem --key /opt/vmware/vcloud-director/etc/user.consoleproxy.key --key-password root_password
```
  3. Reinicie o serviço VMware Cloud Director.
```
service vmware-vcd start
```
  Esses comandos colocam automaticamente em uso os certificados recém-gerados para o banco de dados PostgreSQL incorporado e a UI de gerenciamento de dispositivo. Os servidores PostgreSQL e Nginx são reiniciados. Os comandos geram os certificados SSL novos e autoassinados /opt/vmware/vcloud-director/etc/user.http.pem e /opt/vmware/vcloud-director/etc/user.consoleproxy.pem com as chaves privadas /opt/vmware/vcloud-director/etc/user.http.key e /opt/vmware/vcloud-director/etc/user.consoleproxy.key, que são usadas na Etapa 1.

Resultados

Os certificados autoassinados renovados estão visíveis na interface de usuário do VMware Cloud Director.

O novo certificado PostgreSQL será importado para o truststore do VMware Cloud Director em outras células do VMware Cloud Director da próxima vez em que a função appliance-sync for executada. A operação pode demorar até 60 segundos.

O que Fazer Depois

Se necessário, um certificado autoassinado pode ser substituído por um certificado assinado por uma autoridade de certificação externa ou interna.