Cuando se implementa el dispositivo de VMware Cloud Director, se generan certificados autofirmados con un período de validez de 365 días. Si en su entorno hay certificados caducados o que están a punto de hacerlo, puede generar nuevos certificados autofirmados. Debe renovar los certificados para cada celda de VMware Cloud Director de forma individual. El procedimiento para la versión 10.4 incluye la configuración del proxy de consola.

Si desea renovar los certificados del dispositivo de VMware Cloud Director para la versión 10.4.1 o posterior, consulte Renovar los certificados del dispositivo de VMware Cloud Director para la versión 10.4.1 y versiones posteriores.

A partir de VMware Cloud Director 10.4, el servicio de VMware Cloud Director utiliza un certificado para las comunicaciones de proxy de consola y HTTPS. La base de datos de PostgreSQL integrada y la interfaz de usuario de administración de dispositivos de VMware Cloud Director comparten otro certificado SSL.

Nota: VMware Cloud Director 10.4.1 y versiones posteriores no admiten la implementación heredada de la función de proxy de consola.

Para VMware Cloud Director 10.4, si desea utilizar la implementación heredada con un punto de acceso de proxy de consola dedicado, puede habilitar la función LegacyConsoleProxy en el menú de configuración Marcas de función en la pestaña Administración del Service Provider Admin Portal. Para habilitar la función LegacyConsoleProxy, la instalación o la implementación deben tener los ajustes de proxy de consola configurados en una versión anterior y deben haberse transferido a través de una actualización de VMware Cloud Director. Después de habilitar o desactivar la función, debe reiniciar las celdas. Si habilita la implementación del proxy de consola heredado, el proxy de consola debe tener un certificado independiente.

Puede cambiar todos los certificados autofirmados. Opcionalmente, si utiliza un certificado firmado por una entidad de certificación para las comunicaciones de proxy de consola y HTTPS de VMware Cloud Director, puede cambiar únicamente la base de datos de PostgreSQL integrada y el certificado de interfaz de usuario de administración de dispositivos. Los certificados firmados por una entidad de certificación incluyen una cadena de confianza completa que proviene de una entidad de certificación pública reconocida.

Requisitos previos

Procedimiento

  1. Inicie sesión directamente o utilice SSH en el sistema operativo del dispositivo de VMware Cloud Director como raíz.
  2. Para detener los servicios de VMware Cloud Director, ejecute el siguiente comando. 
    /opt/vmware/vcloud-director/bin/cell-management-tool -u administrator cell --shutdown
  3. Genere nuevos certificados autofirmados para la base de datos y la interfaz de usuario de administración de dispositivos, o bien para la comunicación entre HTTPS y el proxy de consola, la base de datos y la interfaz de usuario de administración de dispositivos.
    • Para generar certificados autofirmados solo para la base de datos de PostgreSQL integrada y la interfaz de usuario de administración de dispositivos de VMware Cloud Director, ejecute lo siguiente:
      /opt/vmware/appliance/bin/generate-certificates.sh <root-password> --skip-vcd-certs

      Este comando utiliza automáticamente los certificados recién generados para la base de datos integrada de PostgreSQL y la interfaz de usuario de administración de dispositivos. Se reinician los servidores de Nginx y PostgreSQL.

    • Genere nuevos certificados autofirmados para la comunicación entre HTTPS y el proxy de consola de VMware Cloud Director, además de los certificados para la base de datos de PostgreSQL integrada y la interfaz de usuario de administración de dispositivos.
      1. Ejecute el siguiente comando:
        /opt/vmware/appliance/bin/generate-certificates.sh <root-password>
      2. Si no utiliza certificados firmados por una entidad de certificación, ejecute los comandos para importar los certificados autofirmados recién generados en VMware Cloud Director.
        /opt/vmware/vcloud-director/bin/cell-management-tool certificates -j --cert /opt/vmware/vcloud-director/etc/user.http.pem --key /opt/vmware/vcloud-director/etc/user.http.key --key-password root_password
/opt/vmware/vcloud-director/bin/cell-management-tool certificates -p --cert /opt/vmware/vcloud-director/etc/user.consoleproxy.pem --key /opt/vmware/vcloud-director/etc/user.consoleproxy.key --key-password root_password
      3. Reinicie el servicio de VMware Cloud Director. 
        service vmware-vcd start

      Estos comandos utilizan automáticamente los certificados recién generados para la base de datos integrada de PostgreSQL y la interfaz de usuario de administración de dispositivos. Se reinician los servidores de Nginx y PostgreSQL. Los comandos generan certificados SSL nuevos y autofirmados /opt/vmware/vcloud-director/etc/user.http.pem y /opt/vmware/vcloud-director/etc/user.consoleproxy. pem con las claves privadas /opt/vmware/vcloud-director/etc/user.http.key y /opt/vmware/vcloud-director/etc/user.consoleproxy.key, que se utilizan en el paso 1.

Resultados

Los certificados autofirmados renovados se pueden ver en la interfaz de usuario de VMware Cloud Director.

El nuevo certificado de PostgreSQL se importará en el almacén de confianza de VMware Cloud Director en las otras celdas de VMware Cloud Director la siguiente vez que se ejecute la función appliance-sync. La operación puede durar hasta 60 segundos.

Qué hacer a continuación

Si es necesario, se puede reemplazar un certificado autofirmado por un certificado que esté firmado por una entidad de certificación externa o interna.