Nach der Bereitstellung von vCloud Usage Meter generiert die Appliance ein selbstsigniertes SSL-Zertifikat. Wenn Sie erstmalig über HTTPS auf die vCloud Usage Meter-Webschnittstelle zugreifen, werden Sie aufgefordert, dem selbstsignierten Zertifikat manuell zu vertrauen.

Sie können die Verbindung zu vCloud Usage Meter sichern, indem Sie das selbstsignierte vCloud Usage Meter-Zertifikat durch ein externes oder internes von einer Zertifizierungsstelle signiertes Zertifikat ersetzen.

Bei Ausführung verwenden alle vCloud Usage Meter-Anwendungen denselben Keystore und denselben ZS-Zertifikatspeicher. Die NGINX-Zertifikate werden beim Start des Betriebssystems aktualisiert. Sofern nicht anders angegeben, können Sie Befehle auf der vCloud Usage Meter-Konsole als usagemeter ausführen.

Damit eine Remote-Interaktion mit der vCloud Usage Meter-Konsole möglich wird, können Sie SSH aktivieren oder die Befehle in einer vSphere-Webkonsole aufrufen.

Die vCloud Usage Meter-Appliance speichert die Zertifikate in einem Java-Keystore unter /opt/vmware/cloudusagemetering/platform/security/keystore.

Der ZS-Zertifikat-Keystore befindet sich unter /opt/vmware/cloudusagemetering/platform/security/cacerts.

Importieren eines von einer internen Zertifizierungsstelle signierten Zertifikats

Wenn Sie das vCloud Usage Meter-Zertifikat durch ein Zertifikat ersetzen möchten, das von einer internen Zertifizierungsstelle signiert wurde, müssen Sie zuerst die Zertifizierungsstelle in die vCloud Usage Meter-Appliance importieren.

Voraussetzungen

  • Stellen Sie sicher, dass Sie über Zugriff auf die vCloud Usage Meter-Konsole als usagemeter verfügen.
  • Stellen Sie sicher, dass Sie über Zugriff auf die vCloud Usage Meter-Konsole als root verfügen.

Prozedur

  1. Melden Sie sich bei der vCloud Usage Meter-Konsole als usagemeter an und halten Sie alle Appliance-Dienste an. 
    cd /opt/vmware/cloudusagemetering
    ./scripts/stop.sh All
  2. Exportieren Sie die Umgebungsvariablen. 
    export $(grep -v '^#' "/opt/vmware/cloudusagemetering/platform/conf/env.properties" | xargs)
  3. Stellen Sie eine Vertrauensstellung zwischen der vCloud Usage Meter-Appliance und dem Zertifikat her, das von der internen Zertifizierungsstelle signiert wurde.
    Geben Sie einen Namen ein, der das Zertifikat innerhalb des Keystores unter der Eigenschaft alias im folgenden Befehl identifiziert. 
    keytool -import -trustcacerts -file filepath-to-the-certificate -alias custom-internal-certificate-authority -keystore /opt/vmware/cloudusagemetering/platform/security/cacerts -storetype BCFKS -providerclass org.bouncycastle.jcajce.provider.BouncyCastleFipsProvider -providerpath /opt/vmware/cloudusagemetering/platform/lib/bc-fips-1.0.2.1.jar -storepass "${TRUST_STORE_PASSWORD}"
  4. Melden Sie sich als root an und starten Sie die vCloud Usage Meter-Appliance neu. 
    reboot

Installieren eines von einer Zertifizierungsstelle signierten Zertifikats

Zum Herstellen einer sicheren Netzwerkverbindung mit der vCloud Usage Meter-Webschnittstelle können Sie ein von einer Zertifizierungsstelle signiertes SSL-Zertifikat auf der vCloud Usage Meter-Appliance installieren.

Um ein von einer Zertifizierungsstelle signiertes Zertifikat und einen privaten Schlüssel abzurufen, müssen Sie eine Zertifikatsignieranforderung erzeugen. Die Zertifizierungsstelle verwendet die Anforderung zum Erzeugen des offiziellen Zertifikats.

Voraussetzungen

  • Stellen Sie sicher, dass Sie über Zugriff auf die vCloud Usage Meter-Konsole als usagemeter verfügen.
  • Von der Zertifizierungsstelle erhalten Sie sowohl den privaten Schlüssel als auch das signierte Zertifikat. Beide Dateien müssen im PEM-Format vorliegen.
  • Wenn das Zertifikat von einer internen Zertifizierungsstelle signiert ist, müssen Sie zuerst die Zertifizierungsstelle in die vCloud Usage Meter-Appliance importieren. Weitere Informationen finden Sie unter Importieren eines von einer internen Zertifizierungsstelle signierten Zertifikats.

Prozedur

  1. Melden Sie sich bei der vCloud Usage Meter-Konsole als usagemeter an und halten Sie alle Appliance-Dienste an. 
    cd /opt/vmware/cloudusagemetering
    ./scripts/stop.sh All
  2. Exportieren Sie die Umgebungsvariablen. 
    export $(grep -v '^#' "/opt/vmware/cloudusagemetering/platform/conf/env.properties" | xargs)
  3. Sichern Sie das vorhandene vCloud Usage Meter-Appliance-Zertifikat.
    1. Sichern Sie den vorhandenen Keystore. 
      mv /opt/vmware/cloudusagemetering/platform/security/keystore /opt/vmware/cloudusagemetering/platform/security/keystore.backup
    2. Verschieben Sie den vorhandenen Keystore-Eintrag aus dem angegeben Alias in einen neuen Alias, der sich unter dem Parameter destalias befindet. 
      keytool -changealias -alias "usage-meter-platform" -destalias "usage-meter-platform-backup" -keystore /opt/vmware/cloudusagemetering/platform/security/cacerts -storetype BCFKS -providerclass org.bouncycastle.jcajce.provider.BouncyCastleFipsProvider -providerpath /opt/vmware/cloudusagemetering/platform/lib/bc-fips-1.0.2.1.jar -storepass "${TRUST_STORE_PASSWORD}"
  4. Importieren Sie das von der Zertifizierungsstelle signierte Zertifikat und den privaten Schlüssel in die vCloud Usage Meter-Appliance.
    1. Erstellen Sie ein temporäres Verzeichnis und legen Sie den Verzeichnispfad auf die Umgebungsvariable NGINX_FOLDER fest. 
      export NGINX_FOLDER=$(mktemp -d)
    2. Erstellen Sie zwei temporäre Unterverzeichnisse innerhalb des temporären Verzeichnisses. 
      mkdir ${NGINX_FOLDER}/private
      mkdir ${NGINX_FOLDER}/certs
    3. Laden Sie das von der Zertifizierungsstelle signierte Zertifikat in den Ordner ${NGINX_FOLDER}/certs/ hoch und benennen Sie die Datei in nginx-selfsigned.crt um.
    4. Laden Sie den von der Zertifizierungsstelle signierten privaten Schlüssel in den Ordner ${NGINX_FOLDER}/private/ hoch und benennen Sie die Datei in nginx-selfsigned.key um.
  5. Erstellen Sie einen neuen Keystore für das von der Zertifizierungsstelle signierte Zertifikat. 
    ./platform/bin/create-keystore.sh
  6. (Optional) Entfernen Sie alle temporären Ordner und Sicherungsordner und löschen Sie das alte vCloud Usage Meter-Zertifikat. 
    rm -rf $NGINX_FOLDER
    rm /opt/vmware/cloudusagemetering/platform/security/keystore.backup
    keytool -delete -alias "usage-meter-platform-backup" -keystore /opt/vmware/cloudusagemetering/platform/security/cacerts -storetype BCFKS -providerclass org.bouncycastle.jcajce.provider.BouncyCastleFipsProvider -providerpath /opt/vmware/cloudusagemetering/platform/lib/bc-fips-1.0.2.1.jar -storepass "${TRUST_STORE_PASSWORD}"
  7. Konfigurieren Sie die Berechtigungen für den Keystore. 
    chmod 0640 /opt/vmware/cloudusagemetering/platform/security/keystore
  8. Starten Sie die vCloud Usage Meter-Appliance neu.
    Bei erfolgreicher Installation des von der Zertifizierungsstelle signierten SSL-Zertifikats auf der vCloud Usage Meter-Appliance wird bei der nächsten Anmeldung bei der vCloud Usage Meter-Webschnittstelle keine Sicherheitswarnung angezeigt.

Ersetzen des selbstsignierten SSL-Zertifikats der Standard-Appliance durch ein neues selbstsigniertes Zertifikat

Sie können das selbstsignierte Standardzertifikat der vCloud Usage Meter-Appliance ersetzen, indem Sie ein neues selbstsigniertes Zertifikat generieren und installieren.

Voraussetzungen

  • Stellen Sie sicher, dass Sie über Zugriff auf die vCloud Usage Meter-Konsole als usagemeter verfügen.
  • Stellen Sie sicher, dass Sie über Zugriff auf die vCloud Usage Meter-Konsole als root verfügen.

Prozedur

  1. Melden Sie sich bei der vCloud Usage Meter-Konsole als usagemeter an und halten Sie alle Appliance-Dienste an. 
    cd /opt/vmware/cloudusagemetering
    ./scripts/stop.sh All
  2. Exportieren Sie die Umgebungsvariablen. 
    export $(grep -v '^#' "/opt/vmware/cloudusagemetering/platform/conf/env.properties" | xargs)
  3. Sichern Sie das vorhandene vCloud Usage Meter-Appliance-Zertifikat.
    1. Sichern Sie den vorhandenen Keystore. 
      mv /opt/vmware/cloudusagemetering/platform/security/keystore /opt/vmware/cloudusagemetering/platform/security/keystore.backup
    2. Verschieben Sie den vorhandenen Keystore-Eintrag aus dem angegeben Alias in einen neuen Alias, der sich unter dem Parameter destalias befindet. 
      keytool -changealias -alias "usage-meter-platform" -destalias "usage-meter-platform-backup" -keystore /opt/vmware/cloudusagemetering/platform/security/cacerts -storetype BCFKS -providerclass org.bouncycastle.jcajce.provider.BouncyCastleFipsProvider -providerpath /opt/vmware/cloudusagemetering/platform/lib/bc-fips-1.0.2.1.jar -storepass "${TRUST_STORE_PASSWORD}"
  4. Erstellen Sie ein temporäres Verzeichnis und legen Sie den Verzeichnispfad auf die Umgebungsvariable NGINX_FOLDER fest. 
    export NGINX_FOLDER=$(mktemp -d)
  5. Generieren Sie ein neues selbstsigniertes Zertifikat. 
    ./platform/bin/create-keystore.sh
  6. (Optional) Entfernen Sie alle temporären Ordner und Sicherungsordner und löschen Sie das alte vCloud Usage Meter-Zertifikat. 
    rm -rf $NGINX_FOLDER
    rm /opt/vmware/cloudusagemetering/platform/security/keystore.backup
    keytool -delete -alias "usage-meter-platform-backup" -keystore /opt/vmware/cloudusagemetering/platform/security/cacerts -storetype BCFKS -providerclass org.bouncycastle.jcajce.provider.BouncyCastleFipsProvider -providerpath /opt/vmware/cloudusagemetering/platform/lib/bc-fips-1.0.2.1.jar -storepass "${TRUST_STORE_PASSWORD}"
  7. Konfigurieren Sie die Berechtigungen für den Keystore. 
    chmod 0640 /opt/vmware/cloudusagemetering/platform/security/keystore
  8. Melden Sie sich als root an und starten Sie die vCloud Usage Meter-Appliance neu. 
    reboot

Importieren eines Zertifikats in den Keystore der vCloud Usage Meter-Appliance

Wenn die Instanz, die Sie für die Messung hinzufügen möchten, Netzwerk- und Sicherheitskonfigurationseinheiten wie Lastausgleichsdienst, Proxy oder Firewall verwendet oder Sie Proxy über HTTPS verwenden, müssen Sie deren Zertifikate in den Keystore der vCloud Usage Meter-Appliance importieren.

Um das Zertifikat einer Netzwerk- und Sicherheitskonfigurationseinheit in den Keystore der vCloud Usage Meter-Appliance zu importieren, müssen Sie das Kennwort des Truststores abrufen. Das Kennwort befindet sich unter /opt/vmware/cloudusagemetering/conf/local.conf.

Voraussetzungen

  • Stellen Sie sicher, dass Sie als usagemeter über Zugriff auf die vCloud Usage Meter-Appliance verfügen.

  • Stellen Sie sicher, dass Sie als root über Zugriff auf die vCloud Usage Meter-Appliance verfügen.

Prozedur

  1. Melden Sie sich bei der vCloud Usage Meter-Appliance als usagemeter an.
  2. Um das Trustore-Kennwort in eine Umgebungsvariable zu extrahieren, führen Sie den folgenden Befehl aus. 
    export TRUSTOREPASS=$(grep "trustStorePassword" /opt/vmware/cloudusagemetering/conf/local.conf | cut -d' ' -f2-)
  3. Führen Sie den folgenden Befehl aus, um das Zertifikat in den vCloud Usage Meter-Keystore zu importieren. 
    keytool -import -trustcacerts -alias certificate-alias -file certificate-file -keystore 
/opt/vmware/cloudusagemetering/resources/cacerts.bcfks -storetype bcfks -storepass "${TRUSTOREPASS}" -providername BCFIPS -providerclass 
org.bouncycastle.jcajce.provider.BouncyCastleFipsProvider -providerpath /opt/vmware/cloudusagemetering/jars/bc-fips-*.jar
  4. Melden Sie sich als root an und starten Sie die vCloud Usage Meter-Appliance neu. 
    reboot