部署 VMware Cloud Director 设备时,将生成自签名证书,有效期为 365 天。如果您的环境中存在即将过期或已过期的证书,则可以生成新的自签名证书。必须分别为每个 VMware Cloud Director 单元续订证书。

VMware Cloud Director 设备使用两组 SSL 证书。VMware Cloud Director 服务使用一组证书进行 HTTPS 和控制台代理通信。嵌入式 PostgreSQL 数据库和 VMware Cloud Director 设备管理用户界面共享另一组 SSL 证书。

您可以更改这两组自签名证书。或者,如果使用 CA 签名证书进行 VMware Cloud Director 的 HTTPS 和控制台代理通信,则只能更改嵌入式 PostgreSQL 数据库和设备管理 UI 证书。CA 签名证书包括一个知名公共证书颁发机构的完整信任链。

前提条件

  • 如果要为数据库高可用性集群中的主节点续订证书,请将所有其他节点置于维护模式,以防数据丢失。请参见管理单元
  • 如果启用了 FIPS 模式,则设备的 root 密码必须至少包含 14 个字符。请参见更改 VMware Cloud Director 设备 Root 密码

过程

  1. root 身份直接或通过 SSH 登录到 VMware Cloud Director 设备的操作系统。
  2. 要停止 VMware Cloud Director 服务,请运行以下命令。 
    /opt/vmware/vcloud-director/bin/cell-management-tool -u administrator cell --shutdown
  3. 为数据库和设备管理 UI 生成新的自签名证书,或者为 HTTPS 和控制台代理通信、数据库和设备管理 UI 生成新的自签名证书。
    • 仅为嵌入式 PostgreSQL 数据库和 VMware Cloud Director 设备管理 UI 生成自签名证书,请运行:
      /opt/vmware/appliance/bin/generate-certificates.sh <root-password> --skip-vcd-certs

      此命令会自动为嵌入式 PostgreSQL 数据库和设备管理 UI 使用新生成的证书。PostgreSQL 和 Nginx 服务器将重新启动。

    • 除了为嵌入式 PostgreSQL 数据库和设备管理 UI 生成证书,还要为 VMware Cloud Director 的 HTTPS 和控制台代理通信生成新的自签名证书。
      1. 运行下列命令:
        /opt/vmware/appliance/bin/generate-certificates.sh <root-password>
      2. 如果未使用 CA 签名证书,请运行以下命令,将新生成的自签名证书导入到 VMware Cloud Director
        /opt/vmware/vcloud-director/bin/cell-management-tool certificates -j --cert /opt/vmware/vcloud-director/etc/user.http.pem --key /opt/vmware/vcloud-director/etc/user.http.key --key-password root_password
/opt/vmware/vcloud-director/bin/cell-management-tool certificates -p --cert /opt/vmware/vcloud-director/etc/user.consoleproxy.pem --key /opt/vmware/vcloud-director/etc/user.consoleproxy.key --key-password root_password
      3. 重新启动 VMware Cloud Director 服务。 
        service vmware-vcd start

      这些命令会自动为嵌入式 PostgreSQL 数据库和设备管理 UI 使用新生成的证书。PostgreSQL 和 Nginx 服务器将重新启动。这些命令将生成新的自签名 SSL 证书 /opt/vmware/vcloud-director/etc/user.http.pem/opt/vmware/vcloud-director/etc/user.consoleproxy.pem(分别包含私钥 /opt/vmware/vcloud-director/etc/user.http.key/opt/vmware/vcloud-director/etc/user.consoleproxy.key),以在步骤 1 中使用。

结果

续订的自签名证书将在 VMware Cloud Director 用户界面中可见。

下次运行 appliance-sync 函数时,新的 PostgreSQL 证书将导入到其他 VMware Cloud Director 单元上的 VMware Cloud Director 信任存储区。该操作可能需要长达 60 秒的时间。

下一步做什么

如有必要,可以使用外部或内部证书颁发机构签名的证书替换自签名证书。