Erneuern der Zertifikate Ihrer VMware Cloud Director-Appliance

Wenn Sie die VMware Cloud Director-Appliance bereitstellen, werden selbstsignierte Zertifikate mit einem Gültigkeitszeitraum von 365 Tagen generiert. Wenn in Ihrer Umgebung ablaufende oder abgelaufene Zertifikate vorhanden sind, können Sie neue selbstsignierte Zertifikate generieren. Sie müssen die Zertifikate für jede VMware Cloud Director-Zelle einzeln erneuern.

Ab VMware Cloud Director 10.4 verwendet der VMware Cloud Director-Dienst ein Zertifikat für die HTTPS- und Konsolen-Proxy-Kommunikation. Die eingebettete PostgreSQL-Datenbank und die Verwaltungsbenutzeroberfläche der VMware Cloud Director-Appliance nutzen ein weiteres SSL-Zertifikat.

Hinweis: VMware Cloud Director 10.4.1 und höher unterstützen die Legacy-Implementierung der Konsolen-Proxy-Funktion nicht.

Sie können alle selbstsignierten Zertifikate ändern. Wenn Sie alternativ dazu ein von einer Zertifizierungsstelle signiertes Zertifikat für die HTTPS-Kommunikation von VMware Cloud Director verwenden, können Sie nur die eingebettete PostgreSQL-Datenbank und das Zertifikat der Verwaltungsschnittstelle der Appliance ändern. Von einer Zertifizierungsstelle signierte Zertifikate enthalten eine vollständige Vertrauenskette, die von einer bekannten öffentlichen Zertifizierungsstelle ausgeht.

Voraussetzungen

Um sicherzustellen, dass dies das für Ihre Umgebung erforderliche Verfahren ist, machen Sie sich mit Erstellen und Verwalten von SSL-Zertifikaten Ihrer VMware Cloud Director-Appliance vertraut.
Wenn Sie das Zertifikat für den primären Knoten in einem Datenbank-Hochverfügbarkeits-Cluster erneuern, führen Sie den opt/vmware/vcloud-director/bin/cell-management-tool cell -m-Befehl des Zellenverwaltungstools aus, um alle anderen Knoten in den Wartungsmodus zu versetzen und um Datenverlust zu verhindern. Weitere Informationen finden Sie unter Verwalten einer VMware Cloud Director-Zelle.
Wenn der FIPS-Modus aktiviert ist, muss das root-Kennwort der Appliance 14 oder mehr Zeichen enthalten. Weitere Informationen finden Sie unter Ändern des Root-Kennworts der VMware Cloud Director-Appliance.

Prozedur

Melden Sie sich direkt oder mithilfe von SSH beim Betriebssystem der VMware Cloud Director-Appliance als root an.

Führen Sie zum Beenden der VMware Cloud Director-Dienste den folgenden Befehl aus.

/opt/vmware/vcloud-director/bin/cell-management-tool -u administrator cell --shutdown

Generieren Sie neue selbstsignierte Zertifikate für die Datenbank und die Appliance-Verwaltungsbenutzeroberfläche oder für die HTTPS-Kommunikation, die Datenbank und die Appliance-Verwaltungsbenutzeroberfläche.
- Generieren Sie selbstsignierte Zertifikate nur für die eingebettete PostgreSQL-Datenbank und die Appliance-Verwaltungsbenutzeroberfläche von VMware Cloud Director. Führen Sie den folgenden Befehl aus:
```
/opt/vmware/appliance/bin/generate-certificates.sh <root-password> --skip-vcd-certs
```
  Dieser Befehl bewirkt, dass automatisch die neu generierten Zertifikate für die eingebettete PostgreSQL-Datenbank und die Verwaltungsschnittstelle der Appliance verwendet werden. Der PostgreSQL- und der Nginx-Server werden neu gestartet.
- Generieren Sie zusätzlich zu den Zertifikaten für die eingebettete PostgreSQL-Datenbank und die Appliance-Verwaltungsbenutzeroberfläche neue selbstsignierte Zertifikate für die HTTPS-Kommunikation von VMware Cloud Director.
  1. Führen Sie den folgenden Befehl aus:
```
/opt/vmware/appliance/bin/generate-certificates.sh <root-password>
```
  2. Wenn Sie keine von einer Zertifizierungsstelle signierten Zertifikate verwenden, führen Sie die Befehle zum Importieren der neu generierten selbstsignierten Zertifikate in VMware Cloud Director aus.
```
/opt/vmware/vcloud-director/bin/cell-management-tool certificates -j --cert /opt/vmware/vcloud-director/etc/user.http.pem --key /opt/vmware/vcloud-director/etc/user.http.key --key-password root_password
```
  3. Starten Sie den VMware Cloud Director-Dienst neu.
```
service vmware-vcd start
```
  Diese Befehle bewirken, dass automatisch die neu generierten Zertifikate für die eingebettete PostgreSQL-Datenbank und die Verwaltungsschnittstelle der Appliance verwendet werden. Der PostgreSQL- und der Nginx-Server werden neu gestartet. Die Befehle generieren neue, selbstsignierte SSL-Zertifikate (/opt/vmware/vcloud-director/etc/user.http.pem) mit privaten Schlüsseln (/opt/vmware/vcloud-director/etc/user.http.key), die in Schritt 1 verwendet werden.

Ergebnisse

Die verlängerten selbstsignierten Zertifikate werden in der VMware Cloud Director-Benutzeroberfläche angezeigt.

Das neue PostgreSQL-Zertifikat wird bei der nächsten Ausführung der Funktion appliance-sync in den VMware Cloud Director-Truststore auf anderen VMware Cloud Director-Zellen importiert. Der Vorgang kann bis zu 60 Sekunden dauern.

Nächste Maßnahme

Bei Bedarf kann ein selbstsigniertes Zertifikat durch ein von einer externen oder internen Zertifizierungsstelle signiertes Zertifikat ersetzt werden.