默认情况下,VMware Cloud Gateway 使用在安装期间生成的自签名证书。当证书过期或您要使用其他证书提供商提供的证书时,可以替换该证书。

注: 只能使用 CA 签名证书。

过程

  1. 使用 SSH 连接到 VMware Cloud Gateway
  2. 对于 CA 签名证书,通过执行以下步骤生成证书:
    1. 在命令行处键入以下命令,生成证书签名请求 (CSR):
      openssl req -new -newkey rsa:4096 -nodes -out server.csr -keyout server.key
    2. 根据 CA 的请求过程向该 CA 提供 CSR。
    3. 当您收到 CA 证书时,请将其放在可从 VMware Cloud Gateway 访问的位置中。
    4. 如果不是已知的 CA,请确保根 CA 的以下参数设置如下: 
       X509v3 extensions:
            X509v3 Basic Constraints: critical
                CA:TRUE
            X509v3 Key Usage: critical
                Digital Signature, Key Encipherment, Certificate Sign, CRL Sign
      注: 在端点/计算机 SSL 证书上设置密钥加密。
    5. 从 CA 获取以下文件:
      • server.keyVMware Cloud Gateway 私钥。
      • server.crt:CA 签名的 VMware Cloud Gateway 分支证书和所有中间 CA 证书(如有)。
      • rootCA.pem:证书链中的根 CA 证书。
  3. 键入以下命令,生成 server.pem 文件,该文件是包括 server.crt、所有中间 CA(如有)和私钥 (server.key) 的完整证书链:
    cat server.crt server.key > server.pem
    server.pem 必须按以下顺序包含详细信息: 
    ---BEGIN CERTIFICATE---
<CERT>
---END CERTIFICATE---
---BEGIN PRIVATE KEY---
<KEY>
---END PRIVATE KEY---
  4. 键入以下命令,备份 /etc/applmgmt/appliance 目录中现有的 server.pemrootCA.pem
    cp -p /etc/applmgmt/appliance/server.pem /etc/applmgmt/appliance/server.pem.bak
    cp -p /etc/applmgmt/appliance/rootCA.pem /etc/applmgmt/appliance/rootCA.pem.bak
  5. 键入以下命令,使用新文件替换 server.pemrootCA.pem
    cp -p server.pem rootCA.pem /etc/applmgmt/appliance/
  6. 按相同的顺序重新启动以下服务:
    systemctl restart gps_envoy.service
    systemctl restart aap_envoy.service
    systemctl restart rsyslog.service
  7. 重新启动 aca_watchdog service 以重新启动正在运行的所有 VAP 代理。
    systemctl restart aca_watchdog.service