续订版本 10.4 的 VMware Cloud Director 设备证书

部署 VMware Cloud Director 设备时，将生成自签名证书，有效期为 365 天。如果您的环境中存在即将过期或已过期的证书，则可以生成新的自签名证书。必须分别为每个 VMware Cloud Director 单元续订证书。对于版本 10.4，过程包括控制台代理设置。

如果要续订版本 10.4.1 或更高版本的 VMware Cloud Director 设备证书，请参见续订版本 10.4.1 及更高版本的 VMware Cloud Director 设备证书。

从 VMware Cloud Director 10.4 开始，VMware Cloud Director 服务使用一个证书进行 HTTPS 通信和控制台代理通信。嵌入式 PostgreSQL 数据库和 VMware Cloud Director 设备管理用户界面共用另一个 SSL 证书。

注： VMware Cloud Director 10.4.1 及更高版本不支持控制台代理功能的旧版实现。

对于 VMware Cloud Director 10.4，如果要使用专用控制台代理接入点的旧版实现，可以从 Service Provider Admin Portal的管理选项卡下的“功能标记”设置菜单中启用 LegacyConsoleProxy 功能。要启用 LegacyConsoleProxy 功能，您的安装或部署必须具有在先前版本中配置并通过 VMware Cloud Director 升级传输的控制台代理设置。启用或停用该功能后，必须重新启动单元。如果启用旧版控制台代理，则控制台代理必须具有单独的证书。

可以更改所有自签名证书。或者，如果使用 CA 签名证书进行 VMware Cloud Director 的 HTTPS 通信和控制台代理通信，则只能更改嵌入式 PostgreSQL 数据库和设备管理 UI 证书。CA 签名证书包括一个知名公共证书颁发机构的完整信任链。

前提条件

要验证这是否是满足您环境需求的相关过程，请熟悉创建和管理 VMware Cloud Director 设备的 SSL 证书。
如果要为数据库高可用性集群中的主节点续订证书，请运行单元管理工具的 opt/vmware/vcloud-director/bin/cell-management-tool cell -m 命令，将所有其他节点置于维护模式并防止数据丢失。请参见管理单元。
如果启用了 FIPS 模式，则设备的 root 密码必须至少包含 14 个字符。请参见更改 VMware Cloud Director 设备 10.4.1 或更高版本的 Root 密码。

过程

以 root 身份直接或通过 SSH 登录到 VMware Cloud Director 设备的操作系统。

要停止 VMware Cloud Director 服务，请运行以下命令。

/opt/vmware/vcloud-director/bin/cell-management-tool -u administrator cell --shutdown

为数据库和设备管理 UI 生成新的自签名证书，或者为 HTTPS 和控制台代理通信、数据库和设备管理 UI 生成新的自签名证书。
- 仅为嵌入式 PostgreSQL 数据库和 VMware Cloud Director 设备管理 UI 生成自签名证书，请运行：
```
/opt/vmware/appliance/bin/generate-certificates.sh <root-password> --skip-vcd-certs
```
  此命令会自动为嵌入式 PostgreSQL 数据库和设备管理 UI 使用新生成的证书。PostgreSQL 和 Nginx 服务器将重新启动。
- 除了为嵌入式 PostgreSQL 数据库和设备管理 UI 生成证书，还要为 VMware Cloud Director 的 HTTPS 和控制台代理通信生成新的自签名证书。
  1. 运行下列命令：
```
/opt/vmware/appliance/bin/generate-certificates.sh <root-password>
```
  2. 如果未使用 CA 签名证书，请运行以下命令，将新生成的自签名证书导入到 VMware Cloud Director。
```
/opt/vmware/vcloud-director/bin/cell-management-tool certificates -j --cert /opt/vmware/vcloud-director/etc/user.http.pem --key /opt/vmware/vcloud-director/etc/user.http.key --key-password root_password
/opt/vmware/vcloud-director/bin/cell-management-tool certificates -p --cert /opt/vmware/vcloud-director/etc/user.consoleproxy.pem --key /opt/vmware/vcloud-director/etc/user.consoleproxy.key --key-password root_password
```
  3. 重新启动 VMware Cloud Director 服务。
```
service vmware-vcd start
```
  这些命令会自动为嵌入式 PostgreSQL 数据库和设备管理 UI 使用新生成的证书。PostgreSQL 和 Nginx 服务器将重新启动。这些命令将生成新的自签名 SSL 证书 /opt/vmware/vcloud-director/etc/user.http.pem 和 /opt/vmware/vcloud-director/etc/user.consoleproxy.pem（分别包含私钥 /opt/vmware/vcloud-director/etc/user.http.key 和 /opt/vmware/vcloud-director/etc/user.consoleproxy.key），以在步骤 1 中使用。

结果

续订的自签名证书将在 VMware Cloud Director 用户界面中可见。

下次运行 appliance-sync 函数时，新的 PostgreSQL 证书将导入到其他 VMware Cloud Director 单元上的 VMware Cloud Director 信任存储区。该操作可能需要长达 60 秒的时间。

下一步做什么

如有必要，可以使用外部或内部证书颁发机构签名的证书替换自签名证书。