出于安全原因、证书过期、设备升级或更改或者合规要求,您可能需要替换 VMware Cloud Director 设备管理密钥证书对。
过程
- 以 root 身份直接或通过 SSH 登录到 VMware Cloud Director 设备的操作系统。
- 创建原始 vcd_ova.crt 的备份副本。
cp /opt/vmware/appliance/etc/ssl/vcd_ova.crt /opt/vmware/appliance/etc/ssl/vcd_ova.crt.original cp /opt/vmware/appliance/etc/ssl/vcd_ova.key /opt/vmware/appliance/etc/ssl/vcd_ova.key.original
- 仅为嵌入式 PostgreSQL 数据库和 VMware Cloud Director 设备管理 UI 生成自签名证书。
/opt/vmware/appliance/bin/generate-certificates.sh <root-password> --skip-vcd-certs
此命令会为嵌入式 PostgreSQL 数据库和设备管理 UI 使用新生成的证书。PostgreSQL 和 Nginx 服务器将重新启动。 - 如果使用的是 CA 签名证书,请获取 CA 签名证书,复制这些证书并重新启动 服务。
- 在 vcd_ova.csr 文件中创建证书签名请求。
openssl req -new -key /opt/vmware/appliance/etc/ssl/vcd_ova.key -reqexts SAN -config <(cat /etc/ssl/openssl.cnf <(printf "\n[SAN]\nsubjectAltName=DNS:vcd2.example.com,DNS:vcd2,IP:10.100.101.10\n")) -out vcd_ova.csr
- 将证书签名请求发送到证书颁发机构。
如果必须指定 Web 服务器类型,请使用 Jakarta Tomcat。您将获取 CA 签名证书。
- 复制 CA 签名证书。
cp ca-signed-vcd_ova.pem /opt/vmware/appliance/etc/ssl/vcd_ova.crt
- 重新启动
nginx
和postgres
服务。systemctl restart nginx.service systemctl restart vpostgres.service
- 在 vcd_ova.csr 文件中创建证书签名请求。