Por padrão, o banco de dados PostgreSQL incorporado e a interface do usuário de gerenciamento do dispositivo VMware Cloud Director compartilham um conjunto de certificados SSL autoassinados. Para maior segurança, você pode substituir os certificados autoassinados por certificados assinados pela autoridade de certificação (CA).

Quando você implanta o dispositivo VMware Cloud Director, ele gera certificados autoassinados com um período de validade de 365 dias. O dispositivo VMware Cloud Director usa dois conjuntos de certificados SSL. A partir do VMware Cloud Director 10.4, o tráfego de proxy do console e as comunicações HTTPS passam pela porta 443 padrão e o serviço do VMware Cloud Director usa um certificado para comunicações HTTPS que inclui as comunicações de proxy do console. O banco de dados PostgreSQL incorporado e a interface de usuário de gerenciamento do dispositivo VMware Cloud Director compartilham o outro conjunto de certificados SSL.

Observação: O processo de substituir o banco de dados e os certificados da UI de gerenciamento de dispositivos não afeta o certificado para comunicações HTTPS e de proxy do console. Substituir o certificado HTTPS não significa que você deve substituir os outros.

Procedimento

  1. Envie a solicitação de assinatura de certificado que está localizada em /opt/vmware/appliance/etc/ssl/vcd_ova.csr à CA para assinatura.
  2. Se estiver substituindo o certificado do banco de dados primário, coloque todos os outros nós no modo de manutenção para evitar a possibilidade de perda de dados.
  3. Substitua o certificado de formato PEM existente em /opt/vmware/appliance/etc/ssl/vcd_ova.crt pelo certificado assinado, obtido da sua autoridade de certificação na Etapa 1.
  4. Para selecionar o novo certificado, reinicie os serviços vpostgres, nginx e vcd_ova_ui. 
    systemctl restart nginx.service && systemctl restart vcd_ova_ui.service
    systemctl restart vpostgres.service
  5. Se estiver substituindo o certificado do banco de dados primário, retire todos os outros nós do modo de manutenção.
    Consulte Gerenciando uma célula do VMware Cloud Director.

Resultados

O novo certificado será importado para o truststore do VMware Cloud Director em outras células do VMware Cloud Director da próxima vez em que a função appliance-sync for executada. A operação pode demorar até 60 segundos.