部署 VMware Cloud Director 设备时,将生成自签名证书,有效期为 365 天。如果您的环境中存在即将过期或已过期的证书,则可以生成新的自签名证书。必须分别为每个 VMware Cloud Director 单元续订证书。

VMware Cloud Director 10.4 开始,VMware Cloud Director 服务使用一个证书进行 HTTPS 通信和控制台代理通信。嵌入式 PostgreSQL 数据库和 VMware Cloud Director 设备管理用户界面共用另一个 SSL 证书。

注: VMware Cloud Director 10.4.1 及更高版本不支持控制台代理功能的旧版实现。

可以更改所有自签名证书。或者,如果使用 CA 签名证书进行 VMware Cloud Director 的 HTTPS 通信,则只能更改嵌入式 PostgreSQL 数据库和设备管理 UI 证书。CA 签名证书包括一个知名公共证书颁发机构的完整信任链。

前提条件

过程

  1. root 身份直接或通过 SSH 登录到 VMware Cloud Director 设备的操作系统。
  2. 要停止 VMware Cloud Director 服务,请运行以下命令。
    /opt/vmware/vcloud-director/bin/cell-management-tool -u administrator cell --shutdown
  3. 为数据库和设备管理 UI 生成新的自签名证书,或者为 HTTPS 通信、数据库和设备管理 UI 生成新的自签名证书。
    • 仅为嵌入式 PostgreSQL 数据库和 VMware Cloud Director 设备管理 UI 生成自签名证书,请运行:
      /opt/vmware/appliance/bin/generate-certificates.sh <root-password> --skip-vcd-certs

      此命令会自动为嵌入式 PostgreSQL 数据库和设备管理 UI 使用新生成的证书。PostgreSQL 和 Nginx 服务器将重新启动。

    • 除了为嵌入式 PostgreSQL 数据库和设备管理 UI 生成证书,还为 VMware Cloud Director 的 HTTPS 通信生成新的自签名证书。
      1. 运行下列命令:
        /opt/vmware/appliance/bin/generate-certificates.sh <root-password>
      2. 如果未使用 CA 签名证书,请运行以下命令,将新生成的自签名证书导入到 VMware Cloud Director
        /opt/vmware/vcloud-director/bin/cell-management-tool certificates -j --cert /opt/vmware/vcloud-director/etc/user.http.pem --key /opt/vmware/vcloud-director/etc/user.http.key --key-password root_password
      3. 重新启动 VMware Cloud Director 服务。
        service vmware-vcd start

      这些命令会自动为嵌入式 PostgreSQL 数据库和设备管理 UI 使用新生成的证书。PostgreSQL 和 Nginx 服务器将重新启动。这些命令将生成具有私钥 /opt/vmware/vcloud-director/etc/user.http.key 的新自签名 SSL 证书 /opt/vmware/vcloud-director/etc/user.http.pem,以在步骤 1 中使用。

结果

续订的自签名证书将在 VMware Cloud Director 用户界面中可见。

下次运行 appliance-sync 函数时,新的 PostgreSQL 证书将导入到其他 VMware Cloud Director 单元上的 VMware Cloud Director 信任存储区。该操作可能需要长达 60 秒的时间。

下一步做什么

如有必要,可以使用外部或内部证书颁发机构签名的证书替换自签名证书。