部署 VMware Cloud Director 设备时,将生成自签名证书,有效期为 365 天。如果您的环境中存在即将过期或已过期的证书,则可以生成新的自签名证书。必须分别为每个 VMware Cloud Director 单元续订证书。
从 VMware Cloud Director 10.4 开始,VMware Cloud Director 服务使用一个证书进行 HTTPS 通信和控制台代理通信。嵌入式 PostgreSQL 数据库和 VMware Cloud Director 设备管理用户界面共用另一个 SSL 证书。
注:
VMware Cloud Director 10.4.1 及更高版本不支持控制台代理功能的旧版实现。
可以更改所有自签名证书。或者,如果使用 CA 签名证书进行 VMware Cloud Director 的 HTTPS 通信,则只能更改嵌入式 PostgreSQL 数据库和设备管理 UI 证书。CA 签名证书包括一个知名公共证书颁发机构的完整信任链。
前提条件
要验证这是否是满足您环境需求的相关过程,请熟悉创建和管理 VMware Cloud Director 设备的 SSL 证书。
- 如果要为数据库高可用性集群中的主节点续订证书,请运行单元管理工具的
opt/vmware/vcloud-director/bin/cell-management-tool cell -m
命令,将所有其他节点置于维护模式并防止数据丢失。请参见管理 VMware Cloud Director 单元。 - 如果启用了 FIPS 模式,则设备的 root 密码必须至少包含 14 个字符。请参见更改 VMware Cloud Director 设备的 root 密码。
过程
结果
续订的自签名证书将在 VMware Cloud Director 用户界面中可见。
下次运行 appliance-sync 函数时,新的 PostgreSQL 证书将导入到其他 VMware Cloud Director 单元上的 VMware Cloud Director 信任存储区。该操作可能需要长达 60 秒的时间。
下一步做什么
如有必要,可以使用外部或内部证书颁发机构签名的证书替换自签名证书。