Sie können das Zertifikat für vCenter Cloud Gateway ersetzen, wenn das Zertifikat abläuft oder wenn Sie ein Zertifikat eines anderen Zertifikatsanbieters verwenden möchten.

Wichtig: Wenn Sie den Hybrid Linked Mode auf vCenter Cloud Gateway konfiguriert haben, verwenden Sie dieses Verfahren nicht, um das Zertifikat zu ersetzen. Verwenden Sie stattdessen den Vorgang in Ersetzen des Zertifikats für die Cloud Gateway-Appliance mit aktiviertem Hybrid Linked Mode.

Prozedur

  1. Stellen Sie mithilfe von SSH eine Verbindung zur vCenter Cloud Gateway her.
  2. Wenn Sie vSphere+ verwenden, wählen Sie aus, ob Sie ein selbstsigniertes oder ein von einer Zertifizierungsstelle (CA) signiertes Zertifikat verwenden möchten.
    Option Beschreibung
    Generieren eines selbstsignierten Zertifikats Geben Sie an der Befehlszeile openssl req -x509 -newkey rsa:4096 -keyout server.pem -out cert.pem -days 365 -nodes ein, um das Zertifikat zu generieren.
    Verwenden eines von einer Zertifizierungsstelle signierten Zertifikats
    1. Generieren Sie eine Zertifikatsignieranforderung (Certificate Signing Request, CSR), indem Sie openssl req -new -newkey rsa:2048 -nodes -out server.csr -keyout server.pem in die Befehlszeile eingeben.
    2. Stellen Sie der Zertifizierungsstelle die CSR gemäß ihrem Anforderungsprozess zur Verfügung.
    3. Wenn Sie das Zertifikat von Ihrer Zertifizierungsstelle erhalten, legen Sie es an einem Speicherort ab, auf den Sie über die vCenter Cloud Gateway zugreifen können.
  3. Wenn Sie vSphere+ verwenden, verwenden Sie ein von einer Zertifizierungsstelle signiertes Zertifikat. Wenn es sich nicht um eine bekannte Zertifizierungsstelle handelt, stellen Sie sicher, dass die folgenden Parameter für die Stammzertifizierungsstelle wie folgt festgelegt sind:
     X509v3 extensions:
                X509v3 Basic Constraints: critical
                    CA:TRUE
                X509v3 Key Usage: critical
                    Digital Signature, Key Encipherment, Certificate Sign, CRL Sign
  4. Verwenden Sie ein von einer Zertifizierungsstelle signiertes Zertifikat. Wenn es sich nicht um eine bekannte Zertifizierungsstelle handelt, stellen Sie sicher, dass die folgenden Parameter für die Stammzertifizierungsstelle wie folgt festgelegt sind:
     X509v3 extensions:
                X509v3 Basic Constraints: critical
                    CA:TRUE
                X509v3 Key Usage: critical
                    Digital Signature, Key Encipherment, Certificate Sign, CRL Sign
  5. Hängen Sie die Datei cert.pem, die Sie generiert oder von Ihrer Zertifizierungsstelle erhalten haben, an die Datei server.pem an, indem Sie cat cert.pem >> server.pem eingeben.
  6. Sichern Sie das alte Zertifikat, indem Sie cp /etc/applmgmt/appliance/server.pem /etc/applmgmt/appliance/server.pem.bk eingeben.
  7. Ersetzen Sie das alte Zertifikat durch die Datei server.pem, die Sie in Schritt 5 erstellt haben, indem Sie mv server.pem /etc/applmgmt/appliance/ eingeben.
  8. Geben Sie systemctl restart gps_envoy.service ein, um den envoy-Dienst neu zu starten.
  9. Wenn die Cloud Foundation-Registrierung aktiviert ist, geben Sie systemctl restart aap_envoy.service ein, um den envoy-Dienst der Agent-Plattform neu zu starten.