Standardmäßig nutzen die eingebettete PostgreSQL-Datenbank und die Verwaltungsbenutzeroberfläche der VMware Cloud Director-Appliance gemeinsam einen Satz von selbstsignierten SSL-Zertifikaten. Um die Sicherheit zu erhöhen, können Sie die standardmäßigen selbstsignierten Zertifikate durch signierte Zertifikate einer Zertifizierungsstelle (CA) ersetzen.

Wenn Sie die VMware Cloud Director-Appliance bereitstellen, werden selbstsignierte Zertifikate mit einem Gültigkeitszeitraum von 365 Tagen generiert. Die VMware Cloud Director-Appliance verwendet zwei Sätze von SSL-Zertifikaten. Ab VMware Cloud Director 10.4 werden sowohl der Konsolen-Proxy-Datenverkehr als auch die HTTPS-Kommunikation über den Standardport 443 übertragen, und der VMware Cloud Director-Dienst verwendet ein Zertifikat für die HTTPS-Kommunikation, die die Konsolen-Proxy-Kommunikation enthält. Die eingebettete PostgreSQL-Datenbank und die Verwaltungsbenutzeroberfläche der VMware Cloud Director-Appliance nutzen gemeinsam den anderen Satz von SSL-Zertifikaten.

Hinweis: Der Vorgang zum Ersetzen der Zertifikate für die Datenbank und die Appliance-Verwaltungsbenutzeroberfläche wirkt sich nicht auf das Zertifikat für die Kommunikation zwischen HTTPS und Konsolen-Proxy aus. Das Ersetzen des HTTPS-Zertifikats bedeutet nicht, dass Sie die anderen ersetzen müssen.

Prozedur

  1. Senden Sie die Zertifikatssignieranforderung unter /opt/vmware/appliance/etc/ssl/vcd_ova.csr zum Signieren an die Zertifizierungsstelle.
  2. Wenn Sie das Zertifikat für die primäre Datenbank ersetzen, versetzen Sie alle anderen Knoten in den Wartungsmodus, um zu verhindern, dass Daten verloren gehen.
  3. Ersetzen Sie das vorhandene Zertifikat im PEM-Format unter /opt/vmware/appliance/etc/ssl/vcd_ova.crt durch das signierte Zertifikat, das von Ihrer Zertifizierungsstelle in Schritt 1 abgerufen wurde.
  4. Um das neue Zertifikat abzurufen, starten Sie die Dienste „vpostgres“, „nginx“ und „vcd_ova_ui“ neu.
    systemctl restart nginx.service && systemctl restart vcd_ova_ui.service
    systemctl restart vpostgres.service
  5. Wenn Sie das Zertifikat für die primäre Datenbank ersetzen, nehmen Sie alle anderen Knoten aus dem Wartungsmodus.
    Weitere Informationen finden Sie im Verwalten einer VMware Cloud Director-Zelle.

Ergebnisse

Das neue Zertifikat wird bei der nächsten Ausführung der Funktion appliance-sync in den VMware Cloud Director-Truststore auf anderen VMware Cloud Director-Zellen importiert. Der Vorgang kann bis zu 60 Sekunden dauern.