Wenn Sie die VMware Cloud Director-Appliance bereitstellen, werden selbstsignierte Zertifikate mit einem Gültigkeitszeitraum von 365 Tagen generiert. Wenn in Ihrer Umgebung ablaufende oder abgelaufene Zertifikate vorhanden sind, können Sie neue selbstsignierte Zertifikate generieren. Sie müssen die Zertifikate für jede VMware Cloud Director-Zelle einzeln erneuern.

Ab VMware Cloud Director 10.4 verwendet der VMware Cloud Director-Dienst ein Zertifikat für die HTTPS- und Konsolen-Proxy-Kommunikation. Die eingebettete PostgreSQL-Datenbank und die Verwaltungsbenutzeroberfläche der VMware Cloud Director-Appliance nutzen ein weiteres SSL-Zertifikat.

Hinweis: VMware Cloud Director 10.4.1 und höher unterstützen die Legacy-Implementierung der Konsolen-Proxy-Funktion nicht.

Sie können alle selbstsignierten Zertifikate ändern. Wenn Sie alternativ dazu ein von einer Zertifizierungsstelle signiertes Zertifikat für die HTTPS-Kommunikation von VMware Cloud Director verwenden, können Sie nur die eingebettete PostgreSQL-Datenbank und das Zertifikat der Verwaltungsschnittstelle der Appliance ändern. Von einer Zertifizierungsstelle signierte Zertifikate enthalten eine vollständige Vertrauenskette, die von einer bekannten öffentlichen Zertifizierungsstelle ausgeht.

Voraussetzungen

Prozedur

  1. Melden Sie sich direkt oder mithilfe von SSH beim Betriebssystem der VMware Cloud Director-Appliance als root an.
  2. Führen Sie zum Beenden der VMware Cloud Director-Dienste den folgenden Befehl aus.
    /opt/vmware/vcloud-director/bin/cell-management-tool -u administrator cell --shutdown
  3. Generieren Sie neue selbstsignierte Zertifikate für die Datenbank und die Appliance-Verwaltungsbenutzeroberfläche oder für die HTTPS-Kommunikation, die Datenbank und die Appliance-Verwaltungsbenutzeroberfläche.
    • Generieren Sie selbstsignierte Zertifikate nur für die eingebettete PostgreSQL-Datenbank und die Appliance-Verwaltungsbenutzeroberfläche von VMware Cloud Director. Führen Sie den folgenden Befehl aus:
      /opt/vmware/appliance/bin/generate-certificates.sh <root-password> --skip-vcd-certs

      Dieser Befehl bewirkt, dass automatisch die neu generierten Zertifikate für die eingebettete PostgreSQL-Datenbank und die Verwaltungsschnittstelle der Appliance verwendet werden. Der PostgreSQL- und der Nginx-Server werden neu gestartet.

    • Generieren Sie zusätzlich zu den Zertifikaten für die eingebettete PostgreSQL-Datenbank und die Appliance-Verwaltungsbenutzeroberfläche neue selbstsignierte Zertifikate für die HTTPS-Kommunikation von VMware Cloud Director.
      1. Führen Sie den folgenden Befehl aus:
        /opt/vmware/appliance/bin/generate-certificates.sh <root-password>
      2. Wenn Sie keine von einer Zertifizierungsstelle signierten Zertifikate verwenden, führen Sie die Befehle zum Importieren der neu generierten selbstsignierten Zertifikate in VMware Cloud Director aus.
        /opt/vmware/vcloud-director/bin/cell-management-tool certificates -j --cert /opt/vmware/vcloud-director/etc/user.http.pem --key /opt/vmware/vcloud-director/etc/user.http.key --key-password root_password
      3. Starten Sie den VMware Cloud Director-Dienst neu.
        service vmware-vcd start

      Diese Befehle bewirken, dass automatisch die neu generierten Zertifikate für die eingebettete PostgreSQL-Datenbank und die Verwaltungsschnittstelle der Appliance verwendet werden. Der PostgreSQL- und der Nginx-Server werden neu gestartet. Die Befehle generieren neue, selbstsignierte SSL-Zertifikate (/opt/vmware/vcloud-director/etc/user.http.pem) mit privaten Schlüsseln (/opt/vmware/vcloud-director/etc/user.http.key), die in Schritt 1 verwendet werden.

Ergebnisse

Die verlängerten selbstsignierten Zertifikate werden in der VMware Cloud Director-Benutzeroberfläche angezeigt.

Das neue PostgreSQL-Zertifikat wird bei der nächsten Ausführung der Funktion appliance-sync in den VMware Cloud Director-Truststore auf anderen VMware Cloud Director-Zellen importiert. Der Vorgang kann bis zu 60 Sekunden dauern.

Nächste Maßnahme

Bei Bedarf kann ein selbstsigniertes Zertifikat durch ein von einer externen oder internen Zertifizierungsstelle signiertes Zertifikat ersetzt werden.