默认情况下,嵌入式 PostgreSQL 数据库和 VMware Cloud Director 设备管理用户界面共享一组自签名 SSL 证书。为了提高安全性,可以将默认的自签名证书替换为证书颁发机构 (CA) 签名的证书。

部署 VMware Cloud Director 设备时,将生成自签名证书,有效期为 365 天。VMware Cloud Director 设备使用两组 SSL 证书。从 VMware Cloud Director 10.4 开始,控制台代理流量和 HTTPS 通信均通过默认 443 端口,而 VMware Cloud Director 服务使用一个证书进行 HTTPS 通信(包括控制台代理通信)。嵌入式 PostgreSQL 数据库和 VMware Cloud Director 设备管理用户界面共享另一组 SSL 证书。

注: 替换数据库和设备管理 UI 证书的过程不会影响 HTTPS 和控制台代理通信的证书。替换 HTTPS 证书并不意味着必须替换其他证书。

过程

  1. 将位于 /opt/vmware/appliance/etc/ssl/vcd_ova.csr 的证书签名请求发送到 CA 以进行签名。
  2. 如果要替换主数据库的证书,请将所有其他节点置于维护模式,以防数据丢失。
  3. /opt/vmware/appliance/etc/ssl/vcd_ova.crt 中的现有 PEM 格式证书替换为在步骤 1 中从 CA 获取的签名证书。
  4. 要获取新证书,请重新启动 vpostgres、nginx 和 vcd_ova_ui 服务。 
    systemctl restart nginx.service && systemctl restart vcd_ova_ui.service
    systemctl restart vpostgres.service
  5. 如果要替换主数据库的证书,请将所有其他节点退出维护模式。
    请参见 管理单元

结果

下次运行 appliance-sync 函数时,新证书将导入到其他 VMware Cloud Director 单元上的 VMware Cloud Director 信任存储区。该操作可能需要长达 60 秒的时间。