Quando você implanta o dispositivo VMware Cloud Director, ele gera certificados autoassinados com um período de validade de 365 dias. Se houver certificados prestes a expirar ou já expirados no seu ambiente, você poderá gerar novos certificados autoassinados. Você deve renovar os certificados para cada célula do VMware Cloud Director individualmente.

A partir do VMware Cloud Director 10.4, o serviço do VMware Cloud Director usa um certificado para comunicações HTTPS e de proxy do console. O banco de dados PostgreSQL incorporado e a interface de usuário de gerenciamento do dispositivo do VMware Cloud Director compartilham o outro certificado SSL.

Observação: O VMware Cloud Director 10.4.1 e posterior não oferece suporte à implementação herdada do recurso de proxy do console.

Você pode alterar todos os certificados autoassinados. Como alternativa, se você usar um certificado assinado por CA para as comunicações HTTPS do VMware Cloud Director, poderá alterar apenas o certificado da UI de gerenciamento de dispositivo e do banco de dados PostgreSQL incorporado. Certificados assinados por CA incluem uma cadeia de confiança completa enraizada em uma autoridade de certificação pública conhecida.

Pré-requisitos

Procedimento

  1. Faça login diretamente ou conecte-se via SSH ao SO do dispositivo VMware Cloud Director como root.
  2. Para parar os serviços do VMware Cloud Director, execute o seguinte comando.
    /opt/vmware/vcloud-director/bin/cell-management-tool -u administrator cell --shutdown
  3. Gere novos certificados autoassinados para a interface de usuário de gerenciamento de banco de dados e dispositivo ou para a comunicação HTTPS, o banco de dados e a UI de gerenciamento do dispositivo.
    • Gere certificados autoassinados somente para o banco de dados PostgreSQL incorporado e a interface de usuário de gerenciamento do dispositivo do VMware Cloud Director, execute:
      /opt/vmware/appliance/bin/generate-certificates.sh <root-password> --skip-vcd-certs

      Esse comando coloca automaticamente em uso os certificados recém-gerados para o banco de dados PostgreSQL incorporado e a UI de gerenciamento de dispositivo. Os servidores PostgreSQL e Nginx são reiniciados.

    • Gere novos certificados autoassinados para comunicação HTTPS do VMware Cloud Director, além de certificados para o banco de dados PostgreSQL incorporado e UI de gerenciamento do dispositivo.
      1. Execute o seguinte comando:
        /opt/vmware/appliance/bin/generate-certificates.sh <root-password>
      2. Se você não estiver usando certificados assinados por CA, execute os comandos para importar os certificados autoassinados recém-gerados para o VMware Cloud Director.
        /opt/vmware/vcloud-director/bin/cell-management-tool certificates -j --cert /opt/vmware/vcloud-director/etc/user.http.pem --key /opt/vmware/vcloud-director/etc/user.http.key --key-password root_password
      3. Reinicie o serviço VMware Cloud Director.
        service vmware-vcd start

      Esses comandos colocam automaticamente em uso os certificados recém-gerados para o banco de dados PostgreSQL incorporado e a UI de gerenciamento de dispositivo. Os servidores PostgreSQL e Nginx são reiniciados. Os comandos geram um novo certificado SSL autoassinado /opt/vmware/vcloud-director/etc/user.http.pem com a chave privada /opt/vmware/vcloud-director/etc/user.http.key, que são usados na Etapa 1.

Resultados

Os certificados autoassinados renovados estão visíveis na interface de usuário do VMware Cloud Director.

O novo certificado PostgreSQL será importado para o truststore do VMware Cloud Director em outras células do VMware Cloud Director da próxima vez em que a função appliance-sync for executada. A operação pode demorar até 60 segundos.

O que Fazer Depois

Se necessário, um certificado autoassinado pode ser substituído por um certificado assinado por uma autoridade de certificação externa ou interna.