出于安全原因、证书过期、设备升级或更改或者合规要求,您可能需要替换 VMware Cloud Director 设备管理密钥证书对。

过程

  1. root 身份直接或通过 SSH 登录到 VMware Cloud Director 设备的操作系统。
  2. 创建原始 vcd_ova.crt 的备份副本。
    cp /opt/vmware/appliance/etc/ssl/vcd_ova.crt /opt/vmware/appliance/etc/ssl/vcd_ova.crt.original
    cp /opt/vmware/appliance/etc/ssl/vcd_ova.key /opt/vmware/appliance/etc/ssl/vcd_ova.key.original
  3. 仅为嵌入式 PostgreSQL 数据库和 VMware Cloud Director 设备管理 UI 生成自签名证书。
    /opt/vmware/appliance/bin/generate-certificates.sh <root-password> --skip-vcd-certs
    此命令会为嵌入式 PostgreSQL 数据库和设备管理 UI 使用新生成的证书。PostgreSQL 和 Nginx 服务器将重新启动。
  4. 如果使用的是 CA 签名证书,请获取 CA 签名证书,复制这些证书并重新启动 服务。
    1. vcd_ova.csr 文件中创建证书签名请求。
      openssl req -new -key /opt/vmware/appliance/etc/ssl/vcd_ova.key -reqexts SAN -config <(cat /etc/ssl/openssl.cnf <(printf "\n[SAN]\nsubjectAltName=DNS:vcd2.example.com,DNS:vcd2,IP:10.100.101.10\n")) -out vcd_ova.csr
    2. 将证书签名请求发送到证书颁发机构。
      如果必须指定 Web 服务器类型,请使用 Jakarta Tomcat。
      您将获取 CA 签名证书。
    3. 复制 CA 签名证书。
      cp ca-signed-vcd_ova.pem /opt/vmware/appliance/etc/ssl/vcd_ova.crt
    4. 重新启动 nginxpostgres 服务。
      systemctl restart nginx.service
      systemctl restart vpostgres.service