Erneuern der VMware Cloud Director-Appliance-Zertifikate für Version 10.4

Wenn Sie die VMware Cloud Director-Appliance bereitstellen, werden selbstsignierte Zertifikate mit einem Gültigkeitszeitraum von 365 Tagen generiert. Wenn in Ihrer Umgebung ablaufende oder abgelaufene Zertifikate vorhanden sind, können Sie neue selbstsignierte Zertifikate generieren. Sie müssen die Zertifikate für jede VMware Cloud Director-Zelle einzeln erneuern. Das Verfahren für Version 10.4 umfasst Konsolen-Proxy-Einstellungen.

Wenn Sie die Zertifikate der VMware Cloud Director-Appliance für Version 10.4.1 oder höher erneuern möchten, finden Sie weitere Informationen unter Erneuern der VMware Cloud Director-Appliance-Zertifikate für Version 10.4.1 und höher.

Ab VMware Cloud Director 10.4 verwendet der VMware Cloud Director-Dienst ein Zertifikat für die HTTPS- und Konsolen-Proxy-Kommunikation. Die eingebettete PostgreSQL-Datenbank und die Verwaltungsbenutzeroberfläche der VMware Cloud Director-Appliance nutzen ein weiteres SSL-Zertifikat.

Hinweis: VMware Cloud Director 10.4.1 und höher unterstützen die Legacy-Implementierung der Konsolen-Proxy-Funktion nicht.

Wenn Sie für VMware Cloud Director 10.4 die Legacy-Implementierung mit einem dedizierten Konsolen-Proxy-Access-Point verwenden möchten, können Sie die Funktion LegacyConsoleProxy über das Einstellungsmenü „Funktions-Flags“ auf der Registerkarte Verwaltung im Service Provider Admin Portal aktivieren. Um die Funktion LegacyConsoleProxy zu aktivieren, müssen die Konsolen-Proxy-Einstellungen in einer früheren Version konfiguriert und durch ein VMware Cloud Director-Upgrade übertragen worden sein. Nach dem Aktivieren oder Deaktivieren der Funktion müssen Sie die Zellen neu starten. Wenn Sie die Legacy-Konsolen-Proxy-Implementierung aktivieren, muss der Konsolen-Proxy über ein separates Zertifikat verfügen.

Sie können alle selbstsignierten Zertifikate ändern. Wenn Sie alternativ dazu ein von einer Zertifizierungsstelle signiertes Zertifikat für die HTTPS- und Konsolenproxy-Kommunikation von VMware Cloud Director verwenden, können Sie nur die eingebettete PostgreSQL-Datenbank und das Zertifikat der Verwaltungsschnittstelle der Appliance ändern. Von einer Zertifizierungsstelle signierte Zertifikate enthalten eine vollständige Vertrauenskette, die von einer bekannten öffentlichen Zertifizierungsstelle ausgeht.

Voraussetzungen

Um sicherzustellen, dass dies das für Ihre Umgebung erforderliche Verfahren ist, machen Sie sich mit Erstellen und Verwalten von SSL-Zertifikaten der VMware Cloud Director-Appliance vertraut.
Wenn Sie das Zertifikat für den primären Knoten in einem Datenbank-Hochverfügbarkeits-Cluster erneuern, führen Sie den opt/vmware/vcloud-director/bin/cell-management-tool cell -m-Befehl des Zellenverwaltungstools aus, um alle anderen Knoten in den Wartungsmodus zu versetzen und um Datenverlust zu verhindern. Weitere Informationen finden Sie im Verwalten einer Zelle.
Wenn der FIPS-Modus aktiviert ist, muss das root-Kennwort der Appliance 14 oder mehr Zeichen enthalten. Weitere Informationen finden Sie im Ändern des Root-Kennworts der VMware Cloud Director-Appliance 10.4.1 oder höher.

Prozedur

Melden Sie sich direkt oder mithilfe von SSH beim Betriebssystem der VMware Cloud Director-Appliance als root an.

Führen Sie zum Beenden der VMware Cloud Director-Dienste den folgenden Befehl aus.

/opt/vmware/vcloud-director/bin/cell-management-tool -u administrator cell --shutdown

Generieren Sie neue selbstsignierte Zertifikate für die Datenbank und die Appliance-Verwaltungsbenutzeroberfläche oder für die Kommunikation zwischen HTTPS und Konsolen-Proxy, die Datenbank und die Appliance-Verwaltungsbenutzeroberfläche.
- Generieren Sie selbstsignierte Zertifikate nur für die eingebettete PostgreSQL-Datenbank und die Appliance-Verwaltungsbenutzeroberfläche von VMware Cloud Director. Führen Sie den folgenden Befehl aus:
```
/opt/vmware/appliance/bin/generate-certificates.sh <root-password> --skip-vcd-certs
```
  Dieser Befehl bewirkt, dass automatisch die neu generierten Zertifikate für die eingebettete PostgreSQL-Datenbank und die Verwaltungsschnittstelle der Appliance verwendet werden. Der PostgreSQL- und der Nginx-Server werden neu gestartet.
- Generieren Sie zusätzlich zu den Zertifikaten für die eingebettete PostgreSQL-Datenbank und die Appliance-Verwaltungsbenutzeroberfläche neue selbstsignierte Zertifikate für die Kommunikation zwischen HTTPS und Konsolen-Proxy von VMware Cloud Director.
  1. Führen Sie den folgenden Befehl aus:
```
/opt/vmware/appliance/bin/generate-certificates.sh <root-password>
```
  2. Wenn Sie keine von einer Zertifizierungsstelle signierten Zertifikate verwenden, führen Sie die Befehle zum Importieren der neu generierten selbstsignierten Zertifikate in VMware Cloud Director aus.
```
/opt/vmware/vcloud-director/bin/cell-management-tool certificates -j --cert /opt/vmware/vcloud-director/etc/user.http.pem --key /opt/vmware/vcloud-director/etc/user.http.key --key-password root_password
/opt/vmware/vcloud-director/bin/cell-management-tool certificates -p --cert /opt/vmware/vcloud-director/etc/user.consoleproxy.pem --key /opt/vmware/vcloud-director/etc/user.consoleproxy.key --key-password root_password
```
  3. Starten Sie den VMware Cloud Director-Dienst neu.
```
service vmware-vcd start
```
  Diese Befehle bewirken, dass automatisch die neu generierten Zertifikate für die eingebettete PostgreSQL-Datenbank und die Verwaltungsschnittstelle der Appliance verwendet werden. Der PostgreSQL- und der Nginx-Server werden neu gestartet. Die Befehle erzeugen die neuen selbstsignierten SSL-Zertifikate /opt/vmware/vcloud-director/etc/user.http.pem und /opt/vmware/vcloud-director/etc/user.consoleproxy.pem mit den privaten Schlüsseln /opt/vmware/vcloud-director/etc/user.http.key und /opt/vmware/vcloud-director/etc/user.consoleproxy.key, die in Schritt 1 verwendet werden.

Ergebnisse

Die verlängerten selbstsignierten Zertifikate werden in der VMware Cloud Director-Benutzeroberfläche angezeigt.

Das neue PostgreSQL-Zertifikat wird bei der nächsten Ausführung der Funktion appliance-sync in den VMware Cloud Director-Truststore auf anderen VMware Cloud Director-Zellen importiert. Der Vorgang kann bis zu 60 Sekunden dauern.

Nächste Maßnahme

Bei Bedarf kann ein selbstsigniertes Zertifikat durch ein von einer externen oder internen Zertifizierungsstelle signiertes Zertifikat ersetzt werden.