更改 VMware Cloud Director 设备的 root 密码时,还必须更新设备证书私钥以使用新密码。对于版本 10.4,过程包括控制台代理设置。

VMware Cloud Director 10.4 开始,控制台代理使用与 REST API 相同的 IP 地址和端口。控制台代理和 REST API 使用单个证书。
注: VMware Cloud Director 10.4.1 及更高版本不支持控制台代理功能的旧版实现。

如果要更改 VMware Cloud Director 设备 10.4.1 或更高版本的 root 密码,请参见更改 VMware Cloud Director 设备 10.4.1 或更高版本的 Root 密码

过程

  1. root 身份直接或通过 SSH 客户端登录到 VMware Cloud Director 设备控制台。
  2. 运行 passwd 命令并更改 root 用户的密码。 
    passwd root
    注: 如果启用了 FIPS 模式,则设备的 root 密码必须至少包含 14 个字符。
    注: 如果 root 密码已过期, VMware Cloud Director 会在您首次以 root 用户身份登录 VMware Cloud Director 设备控制台时提示设置该密码。
  3. 运行以下命令以备份现有的证书文件。 
    cp /opt/vmware/vcloud-director/etc/user.http.pem /tmp/user.http.pem
cp /opt/vmware/vcloud-director/etc/user.http.key /tmp/user.http.key
cp /opt/vmware/vcloud-director/etc/user.consoleproxy.pem /tmp/user.consoleproxy.pem
cp /opt/vmware/vcloud-director/etc/user.consoleproxy.key /tmp/user.consoleproxy.key
  4. 要生成新的私钥,请运行以下 OpenSSL 命令。 
    openssl pkcs8 -in /opt/vmware/vcloud-director/etc/user.http.key -out /opt/vmware/vcloud-director/etc/new.user.http.key -topk8 -passin pass:old_root_password -passout pass:new_root_password
openssl pkcs8 -in /opt/vmware/vcloud-director/etc/user.consoleproxy.key -out /opt/vmware/vcloud-director/etc/new.user.consoleproxy.key -topk8 -passin pass:old_root_password -passout pass:new_root_password
  5. 运行以下命令,将旧私钥文件替换为新私钥文件。 
    mv /opt/vmware/vcloud-director/etc/new.user.http.key /opt/vmware/vcloud-director/etc/user.http.key
mv /opt/vmware/vcloud-director/etc/new.user.consoleproxy.key /opt/vmware/vcloud-director/etc/user.consoleproxy.key
  6. 要验证私钥文件的用户和组所有权,请运行 chown 命令。 
    chown vcloud.vcloud /opt/vmware/vcloud-director/etc/user.http.key
chown vcloud.vcloud /opt/vmware/vcloud-director/etc/user.consoleproxy.key
  7. 要使用私钥的新密码,请更新 VMware Cloud Director 服务器配置。 
    /opt/vmware/vcloud-director/bin/cell-management-tool certificates -j --cert /opt/vmware/vcloud-director/etc/user.http.pem --key /opt/vmware/vcloud-director/etc/user.http.key --key-password new_root_password
/opt/vmware/vcloud-director/bin/cell-management-tool certificates -p --cert /opt/vmware/vcloud-director/etc/user.consoleproxy.pem --key /opt/vmware/vcloud-director/etc/user.consoleproxy.key --key-password new_root_password

下一步做什么

对集群中的每个设备重复此过程。
重要说明: 所有设备都必须共享相同的 root 密码。任何新部署的设备都必须使用新的 root 密码。