Standardmäßig verwendet VMware Cloud Gateway das selbstsignierte Zertifikat, das während der Installation erzeugt wird. Sie können das Zertifikat ersetzen, wenn das Zertifikat abläuft oder wenn Sie ein Zertifikat von einem anderen Zertifikatanbieter verwenden möchten.

Hinweis: Sie dürfen ausschließlich ein von einer Zertifizierungsstelle signiertes Zertifikat verwenden.

Prozedur

  1. Stellen Sie mithilfe von SSH eine Verbindung zur VMware Cloud Gateway her.
  2. Erzeugen Sie das Zertifikat für ein von einer Zertifizierungsstelle signiertes Zertifikat, indem Sie die folgenden Schritte ausführen:
    1. Erzeugen Sie eine Zertifikatsignieranforderung (Certificate Signing Request, CSR), indem Sie den folgenden Befehl in die Befehlszeile eingeben:
      openssl req -new -newkey rsa:4096 -nodes -out server.csr -keyout server.key
    2. Stellen Sie der Zertifizierungsstelle die CSR gemäß dem Anforderungsprozess zur Verfügung.
    3. Wenn Sie das Zertifikat von Ihrer Zertifizierungsstelle erhalten, legen Sie es an einem Speicherort ab, auf den Sie über die VMware Cloud Gateway zugreifen können.
    4. Wenn es sich nicht um eine bekannte Zertifizierungsstelle handelt, stellen Sie sicher, dass die folgenden Parameter für die Stammzertifizierungsstelle wie folgt festgelegt sind: 
       X509v3 extensions:
            X509v3 Basic Constraints: critical
                CA:TRUE
            X509v3 Key Usage: critical
                Digital Signature, Key Encipherment, Certificate Sign, CRL Sign
      Hinweis: Legen Sie Schlüsselverschlüsselung für das Endpoint-/Maschinen-SSL-Zertifikat fest.
    5. Fordern Sie die folgenden Dateien bei der Zertifizierungsstelle an:
      • Server.key: privater Schlüssel VMware Cloud Gateway.
      • server.crt: Von der Zertifizierungsstelle signiertes untergeordnetes VMware Cloud Gateway-Zertifikat und alle Zwischenzertifikate der Zertifizierungsstelle (sofern vorhanden).
      • rootCA.pem: das CA-Root-Zertifikat in der Zertifikatskette.
  3. Erzeugen Sie die Datei server.pem, die die vollständige Zertifikatskette enthält, einschließlich server.crt, aller Zwischenzertifizierungsstellen (gegebenenfalls) und des privaten Schlüssels (server.key), indem Sie den folgenden Befehl eingeben:
    cat server.crt server.key > server.pem
    Die Datei server.pem muss die Details in folgender Reihenfolge enthalten: 
    ---BEGIN CERTIFICATE---
<CERT>
---END CERTIFICATE---
---BEGIN PRIVATE KEY---
<KEY>
---END PRIVATE KEY---
  4. Sichern Sie die vorhandenen Dateien server.pem und rootCA.pem im Verzeichnis /etc/applmgmt/appliance, indem Sie die folgenden Befehle eingeben:
    cp -p /etc/applmgmt/appliance/server.pem /etc/applmgmt/appliance/server.pem.bak
    cp -p /etc/applmgmt/appliance/rootCA.pem /etc/applmgmt/appliance/rootCA.pem.bak
  5. Ersetzen Sie server.pem und rootCA.pem mithilfe der neuen Dateien, indem Sie den folgenden Befehl eingeben:
    cp -p server.pem rootCA.pem /etc/applmgmt/appliance/
  6. Starten Sie die folgenden Dienste in derselben Reihenfolge neu:
    systemctl restart gps_envoy.service
    systemctl restart aap_envoy.service
    systemctl restart rsyslog.service
  7. Starten Sie den ac_watchdog-Dienst neu, um alle ausgeführten VAP-Agenten neu zu starten.
    systemctl restart aca_watchdog.service