vSphere Bitfusion 4.5.2 起,可以通过使用 CLI 命令和 vSphere Bitfusion 插件,续订 vSphere Bitfusion 服务器和客户端的证书。

vSphere Bitfusion 服务器的第一个虚拟机加入 vSphere Bitfusion 集群时,会生成证书颁发机构 (CA) 对密钥。证书负责对所有客户端到服务器、服务器到服务器、服务器到数据库以及数据库到数据库的连接进行身份验证。加入集群的所有后续服务器都会读取证书,并在主服务器上的 CA 中签名其密钥对。为确保冗余, vSphere Bitfusion 将证书颁发机构信息保存在 Apache Cassandra 数据库中,例如,主服务器出现故障。
注:vSphere Bitfusion 4.5.2 起,证书的默认有效期延长至 20 年。对于 vSphere Bitfusion 4.5.1 及更低版本,证书将在一年后过期。
要续订 vSphere Bitfusion 服务器和客户端上的证书,请完成以下过程。

过程

  1. 创建服务器证书。
    1. 打开终端应用程序,然后运行 ssh customer@ip_address 命令,其中 ip_address 是主 vSphere Bitfusion 服务器的 IP 地址。
      可以从 vSphere Bitfusion 插件获取 vSphere Bitfusion 服务器 IP 地址。
    2. 输入您在部署主 vSphere Bitfusion 服务器期间指定的客户密码。
    3. 要生成服务器证书,请运行 sudo bitfusion tls-certs gen 命令。
      ca.crt.xxxca.key.xxx 证书文件将在 /etc/bitfusion/tls/ 文件夹中生成,其中 xxx 是文件名后缀。例如, ca.key.20220408-202701ca.crt.20220408-202701
  2. 将证书从主 vSphere Bitfusion 服务器复制到所有后续服务器。
    1. 从主 vSphere Bitfusion 服务器运行以下命令,将证书文件复制到本地计算机,其中 ip_address_primary 是主 vSphere Bitfusion 服务器的 IP 地址,xxx 是文件名后缀。 
      scp customer@ip_address_primary:ca.crt.xxx .
scp customer@ip_address_primary:ca.key.xxx .
    2. 从本地计算机运行以下命令,将证书文件从本地计算机复制到后续 vSphere Bitfusion 服务器,其中 ip_address_subsequent 是后续 vSphere Bitfusion 服务器的 IP 地址,xxx 是文件名后缀。 
      scp ca.crt.xxx customer@ip_address_subsequent:~/
scp ca.key.xxx customer@ip_address_subsequent:~/
  3. 将证书导入到所有后续 vSphere Bitfusion 服务器。
    1. 打开终端应用程序,然后运行 ssh customer@ip_address 命令,其中 ip_address 是后续 vSphere Bitfusion 服务器的 IP 地址。
      可以从 vSphere Bitfusion 插件获取 vSphere Bitfusion 服务器 IP 地址。
    2. 输入您在部署后续 vSphere Bitfusion 服务器期间指定的客户密码。
    3. 要导入证书,请运行 sudo bitfusion tls-certs import --cakeypath ca.key.xxx --cacertpath ca.crt.xxx,其中 ca.key.xxxca.crt.xxx 是证书文件,xxx 是文件名后缀。
      例如,运行 sudo bitfusion tls-certs import --cakeypath ca.key.20220408-202701 --cacertpath ca.crt.20220408-202701
  4. 运行 sudo systemctl restart bitfusion 命令,重新启动 vSphere Bitfusion 服务。
    必须在集群中的所有 vSphere Bitfusion 服务器上重新启动服务。
  5. 续订客户端证书。
    1. vSphere Client 中,选择菜单 (vSphere Client 菜单图标) > Bitfusion
    2. 设置选项卡上,展开续订客户端证书
    3. 选择续订证书
  6. 如果在裸机计算机上安装 vSphere Bitfusion 客户端,请手动续订证书。
    在以下命令中, ip_address_servervSphere Bitfusion 服务器的 IP 地址, ip_address_clientvSphere Bitfusion 客户端的 IP 地址, xxx 是文件名后缀。
    1. 从本地计算机,将 ca.crt.xxx 文件从 vSphere Bitfusion 服务器复制到客户端。 
      scp customer@ip_address_server:ca.crt.xxx .
scp ca.crt.xxx customer@ip_address_client:~/
    2. 在客户机的终端中,将 ca.crt.xxx 文件移至 /etc/bitfusion/tls/ 文件夹。 
      ssh customer@ip_address_client "sudo chown bitfusion:bitfusion ca.crt.xxx; sudo chmod 640 ca.crt.xxx; sudo cp ca.crt.xxx /etc/bitfusion/tls/ca.crt"

结果

您已续订集群中所有 vSphere Bitfusion 服务器和客户端的证书。新证书将在 20 年后过期。