默认情况下,VMware Cloud Gateway 使用在安装期间生成的自签名证书。当证书过期或您要使用其他证书提供商提供的证书时,可以替换该证书。
注: 只能使用 CA 签名证书。
过程
- 使用 SSH 连接到 VMware Cloud Gateway。
- 对于 CA 签名证书,通过执行以下步骤生成证书:
- 在命令行处键入以下命令,生成证书签名请求 (CSR):
openssl req -new -newkey rsa:4096 -nodes -out server.csr -keyout server.key
- 根据 CA 的请求过程向该 CA 提供 CSR。
- 当您收到 CA 证书时,请将其放在可从 VMware Cloud Gateway 访问的位置中。
- 如果不是已知的 CA,请确保根 CA 的以下参数设置如下:
X509v3 extensions: X509v3 Basic Constraints: critical CA:TRUE X509v3 Key Usage: critical Digital Signature, Key Encipherment, Certificate Sign, CRL Sign注: 在端点/计算机 SSL 证书上设置密钥加密。
- 从 CA 获取以下文件:
- server.key:VMware Cloud Gateway 私钥。
- server.crt:CA 签名的 VMware Cloud Gateway 分支证书和所有中间 CA 证书(如有)。
- rootCA.pem:证书链中的根 CA 证书。
- 在命令行处键入以下命令,生成证书签名请求 (CSR):
- 键入以下命令,生成 server.pem 文件,该文件是包括 server.crt、所有中间 CA(如有)和私钥 (server.key) 的完整证书链:
cat server.crt server.key > server.pemserver.pem 必须按以下顺序包含详细信息:---BEGIN CERTIFICATE--- <CERT> ---END CERTIFICATE--- ---BEGIN PRIVATE KEY--- <KEY> ---END PRIVATE KEY---
- 键入以下命令,备份 /etc/applmgmt/appliance 目录中现有的 server.pem 和 rootCA.pem:
cp -p /etc/applmgmt/appliance/server.pem /etc/applmgmt/appliance/server.pem.bakcp -p /etc/applmgmt/appliance/rootCA.pem /etc/applmgmt/appliance/rootCA.pem.bak
- 键入以下命令,使用新文件替换 server.pem 和 rootCA.pem:
cp -p server.pem rootCA.pem /etc/applmgmt/appliance/
- 按相同的顺序重新启动以下服务:
systemctl restart gps_envoy.servicesystemctl restart aap_envoy.servicesystemctl restart rsyslog.service
- 重新启动 aca_watchdog service 以重新启动正在运行的所有 VAP 代理。
systemctl restart aca_watchdog.service