Standardmäßig nutzen die eingebettete PostgreSQL-Datenbank und die Verwaltungsbenutzeroberfläche der VMware Cloud Director-Appliance gemeinsam einen Satz von selbstsignierten SSL-Zertifikaten. Um die Sicherheit zu erhöhen, können Sie die standardmäßigen selbstsignierten Zertifikate durch signierte Zertifikate einer Zertifizierungsstelle (CA) ersetzen.
Wenn Sie die VMware Cloud Director-Appliance bereitstellen, werden selbstsignierte Zertifikate mit einem Gültigkeitszeitraum von 365 Tagen generiert. Die VMware Cloud Director-Appliance verwendet zwei Sätze von SSL-Zertifikaten. Der VMware Cloud Director-Dienst verwendet einen Satz von Zertifikaten für die HTTPS- und die Konsolen-Proxy-Kommunikation. Die eingebettete PostgreSQL-Datenbank und die Verwaltungsbenutzeroberfläche der VMware Cloud Director-Appliance nutzen gemeinsam den anderen Satz von SSL-Zertifikaten.
Hinweis: Der Vorgang zum Ersetzen der Zertifikate für die Datenbank und die Appliance-Verwaltungsbenutzeroberfläche wirkt sich nicht auf die Zertifikate für die Kommunikation zwischen HTTPS und Konsolen-Proxy aus. Wenn Sie einen der Zertifikatssätze ersetzen, gilt dies nicht notwendigerweise für den anderen Satz.
Prozedur
- Senden Sie die Zertifikatssignieranforderung unter /opt/vmware/appliance/etc/ssl/vcd_ova.csr zum Signieren an die Zertifizierungsstelle.
- Wenn Sie das Zertifikat für die primäre Datenbank ersetzen, versetzen Sie alle anderen Knoten in den Wartungsmodus, um zu verhindern, dass Daten verloren gehen.
- Ersetzen Sie das vorhandene Zertifikat im PEM-Format unter /opt/vmware/appliance/etc/ssl/vcd_ova.crt durch das signierte Zertifikat, das von Ihrer Zertifizierungsstelle in Schritt 1 abgerufen wurde.
- Um das neue Zertifikat abzurufen, starten Sie die Dienste „vpostgres“, „nginx“ und „vcd_ova_ui“ neu.
systemctl restart nginx.service && systemctl restart vcd_ova_ui.service
systemctl restart vpostgres.service
- Wenn Sie das Zertifikat für die primäre Datenbank ersetzen, nehmen Sie alle anderen Knoten aus dem Wartungsmodus.
Ergebnisse
Das neue Zertifikat wird bei der nächsten Ausführung der Funktion appliance-sync in den VMware Cloud Director-Truststore auf anderen VMware Cloud Director-Zellen importiert. Der Vorgang kann bis zu 60 Sekunden dauern.