如果管理站点服务的 SSL 证书过期,或者您最初使用自签名证书而站点策略需要不同的证书,则可以替换证书。

关于此任务

您可以重用 vRealize Automation 服务在端口 443 上使用的证书,也可以使用其他证书。如果要请求 CA 颁发的新证书以更新现有证书,最佳做法是重用现有证书的公用名称。

注:

vRealize Automation 设备使用 lighttpd 运行自己的管理站点。您需保护端口 5480 上的管理站点服务的安全。

先决条件

  • 证书必须采用 PEM 格式。

  • 证书必须包括以下两项,且必须按顺序包含在一个文件中:

    1. RSA 私钥

    2. 证书链

  • 无法加密私钥。

  • 默认位置和文件名为 /opt/vmware/etc/lighttpd/server.pem

有关将证书和私钥从 Java 密钥库导出到 PEM 文件的详细信息,请参见提取证书和私有密钥

过程

  1. 使用设备控制台或 SSH 登录。
  2. 备份当前的证书文件。
    cp /opt/vmware/etc/lighttpd/server.pem /opt/vmware/etc/lighttpd/server.pem-bak
  3. 通过使用新证书信息替换 /opt/vmware/etc/lighttpd/server.pem 文件的内容,将新证书复制到设备。
  4. 通过运行以下命令来重新启动 lighttpd 服务器。

    service vami-lighttp restart

  5. 运行以下命令重新启动 haproxy 服务。

    service haproxy restart

  6. 登录到管理控制台并验证是否已替换证书。您可能需要重新启动浏览器。

下一步做什么

更新所有管理代理以识别新证书。

对于分布式部署,您可以手动或自动更新管理代理。对于最小安装,必须手动更新代理。