Standardmäßig nutzen die eingebettete PostgreSQL-Datenbank und die Verwaltungsbenutzeroberfläche der VMware Cloud Director-Appliance gemeinsam einen Satz von selbstsignierten SSL-Zertifikaten. Um die Sicherheit zu erhöhen, können Sie die standardmäßigen selbstsignierten Zertifikate durch signierte Zertifikate einer Zertifizierungsstelle (CA) ersetzen.

Wenn Sie die VMware Cloud Director-Appliance bereitstellen, werden selbstsignierte Zertifikate mit einem Gültigkeitszeitraum von 365 Tagen generiert. Die VMware Cloud Director-Appliance verwendet zwei Sätze von SSL-Zertifikaten. Der VMware Cloud Director-Dienst verwendet einen Satz von Zertifikaten für die HTTPS- und die Konsolen-Proxy-Kommunikation. Die eingebettete PostgreSQL-Datenbank und die Verwaltungsbenutzeroberfläche der VMware Cloud Director-Appliance nutzen gemeinsam den anderen Satz von SSL-Zertifikaten.

Hinweis: Der Vorgang zum Ersetzen der Zertifikate für die Datenbank und die Appliance-Verwaltungsbenutzeroberfläche wirkt sich nicht auf die Zertifikate für die Kommunikation zwischen HTTPS und Konsolen-Proxy aus. Wenn Sie einen der Zertifikatssätze ersetzen, gilt dies nicht notwendigerweise für den anderen Satz.

Prozedur

  1. Senden Sie die Zertifikatssignieranforderung unter /opt/vmware/appliance/etc/ssl/vcd_ova.csr zum Signieren an die Zertifizierungsstelle.
  2. Wenn Sie das Zertifikat für die primäre Datenbank ersetzen, versetzen Sie alle anderen Knoten in den Wartungsmodus, um zu verhindern, dass Daten verloren gehen.
  3. Ersetzen Sie das vorhandene Zertifikat im PEM-Format unter /opt/vmware/appliance/etc/ssl/vcd_ova.crt durch das signierte Zertifikat, das von Ihrer Zertifizierungsstelle in Schritt 1 abgerufen wurde.
  4. Um das neue Zertifikat abzurufen, starten Sie die Dienste „vpostgres“, „nginx“ und „vcd_ova_ui“ neu. 
    systemctl restart nginx.service && systemctl restart vcd_ova_ui.service
    systemctl restart vpostgres.service
  5. Wenn Sie das Zertifikat für die primäre Datenbank ersetzen, nehmen Sie alle anderen Knoten aus dem Wartungsmodus.
    Weitere Informationen finden Sie im Verwalten einer Zelle.

Ergebnisse

Das neue Zertifikat wird bei der nächsten Ausführung der Funktion appliance-sync in den VMware Cloud Director-Truststore auf anderen VMware Cloud Director-Zellen importiert. Der Vorgang kann bis zu 60 Sekunden dauern.