De forma predeterminada, la base de datos de PostgreSQL integrada y la interfaz de usuario de administración de dispositivos de VMware Cloud Director comparten un conjunto de certificados SSL autofirmados. Para aumentar la seguridad, puede reemplazar los certificados autofirmados predeterminados por certificados firmados por una entidad de certificación (Certificate Authority, CA).

Cuando se implementa el dispositivo de VMware Cloud Director, se generan certificados autofirmados con un período de validez de 365 días. El dispositivo de VMware Cloud Director utiliza dos conjuntos de certificados SSL. A partir de VMware Cloud Director 10.4, tanto el tráfico del proxy de consola como las comunicaciones HTTPS pasan por el puerto 443 predeterminado y el servicio VMware Cloud Director utiliza un certificado para las comunicaciones HTTPS que incluye las comunicaciones de proxy de consola. La base de datos de PostgreSQL integrada y la interfaz de usuario de administración de dispositivos de VMware Cloud Director comparten el otro conjunto de certificados SSL.

Nota: El proceso de reemplazo de los certificados de interfaz de usuario de administración de la base de datos y el dispositivo no afecta al certificado para las comunicaciones de proxy de consola y HTTPS. Reemplazar el certificado HTTPS no significa que deba reemplazar los demás.

Procedimiento

  1. Envíe la solicitud de firma del certificado que se encuentra en /opt/vmware/appliance/etc/ssl/vcd_ova.csr a la entidad de certificación para firmarla.
  2. Si va a reemplazar el certificado de la base de datos principal, coloque los demás nodos en modo de mantenimiento para evitar que se pierdan datos.
  3. Reemplace el certificado con formato PEM existente en /opt/vmware/appliance/etc/ssl/vcd_ova.crt por el certificado firmado que obtuvo de la entidad de certificación en el paso 1.
  4. Para obtener el nuevo certificado, reinicie los servicios de vpostgres, nginx y vcd_ova_ui.
    systemctl restart nginx.service && systemctl restart vcd_ova_ui.service
    systemctl restart vpostgres.service
  5. Si va a reemplazar el certificado de la base de datos principal, saque el resto de los nodos de modo de mantenimiento.

Resultados

El nuevo certificado se importará en el almacén de confianza de VMware Cloud Director en las otras celdas de VMware Cloud Director la siguiente vez que se ejecute la función appliance-sync. La operación puede durar hasta 60 segundos.