Renovar certificados de dispositivos de VMware Cloud Director

Cuando se implementa el dispositivo de VMware Cloud Director, se generan certificados autofirmados con un período de validez de 365 días. Si en su entorno hay certificados caducados o que están a punto de hacerlo, puede generar nuevos certificados autofirmados. Debe renovar los certificados para cada celda de VMware Cloud Director de forma individual.

A partir de VMware Cloud Director 10.4, el servicio de VMware Cloud Director utiliza un certificado para las comunicaciones de proxy de consola y HTTPS. La base de datos de PostgreSQL integrada y la interfaz de usuario de administración de dispositivos de VMware Cloud Director comparten otro certificado SSL.

Nota: VMware Cloud Director 10.4.1 y versiones posteriores no admiten la implementación heredada de la función de proxy de consola.

Puede cambiar todos los certificados autofirmados. Opcionalmente, si utiliza un certificado firmado por una entidad de certificación para las comunicaciones HTTPS de VMware Cloud Director, puede cambiar únicamente la base de datos de PostgreSQL integrada y el certificado de interfaz de usuario de administración de dispositivos. Los certificados firmados por una entidad de certificación incluyen una cadena de confianza completa que proviene de una entidad de certificación pública reconocida.

Requisitos previos

Si desea comprobar que este sea el procedimiento relevante para las necesidades de su entorno, familiarícese con Creación y administración de certificados SSL del dispositivo de VMware Cloud Director.
Si va a renovar el certificado del nodo principal de un clúster de alta disponibilidad de la base de datos, ejecute el comando opt/vmware/vcloud-director/bin/cell-management-tool cell -m de la herramienta de administración de celdas y coloque los demás nodos en modo de mantenimiento para evitar que se pierdan datos. Consulte Administrar una celda de VMware Cloud Director.
Si el modo FIPS está habilitado, la contraseña raíz del dispositivo debe contener 14 o más caracteres. Consulte Cambiar la contraseña raíz de su dispositivo de VMware Cloud Director.

Procedimiento

Inicie sesión directamente o utilice SSH en el sistema operativo del dispositivo de VMware Cloud Director como raíz.

Para detener los servicios de VMware Cloud Director, ejecute el siguiente comando.

/opt/vmware/vcloud-director/bin/cell-management-tool -u administrator cell --shutdown

Genere nuevos certificados autofirmados para la base de datos y la interfaz de usuario de administración de dispositivos, o bien para las comunicaciones HTTPS, la base de datos y la interfaz de usuario de administración de dispositivos.
- Para generar certificados autofirmados solo para la base de datos de PostgreSQL integrada y la interfaz de usuario de administración de dispositivos de VMware Cloud Director, ejecute lo siguiente:
```
/opt/vmware/appliance/bin/generate-certificates.sh <root-password> --skip-vcd-certs
```
  Este comando utiliza automáticamente los certificados recién generados para la base de datos integrada de PostgreSQL y la interfaz de usuario de administración de dispositivos. Se reinician los servidores de Nginx y PostgreSQL.
- Genere nuevos certificados autofirmados para las comunicaciones HTTPS de VMware Cloud Director, además de los certificados para la base de datos de PostgreSQL integrada y la interfaz de usuario de administración de dispositivos.
  1. Ejecute el siguiente comando:
```
/opt/vmware/appliance/bin/generate-certificates.sh <root-password>
```
  2. Si no utiliza certificados firmados por una entidad de certificación, ejecute los comandos para importar los certificados autofirmados recién generados en VMware Cloud Director.
```
/opt/vmware/vcloud-director/bin/cell-management-tool certificates -j --cert /opt/vmware/vcloud-director/etc/user.http.pem --key /opt/vmware/vcloud-director/etc/user.http.key --key-password root_password
```
  3. Reinicie el servicio de VMware Cloud Director.
```
service vmware-vcd start
```
  Estos comandos utilizan automáticamente los certificados recién generados para la base de datos integrada de PostgreSQL y la interfaz de usuario de administración de dispositivos. Se reinician los servidores de Nginx y PostgreSQL. Los comandos generan un nuevo certificado SSL autofirmado /opt/vmware/vcloud-director/etc/user.http.pem con clave privada /opt/vmware/vcloud-director/etc/user.http.key que se utiliza en el paso 1.

Resultados

Los certificados autofirmados renovados se pueden ver en la interfaz de usuario de VMware Cloud Director.

El nuevo certificado de PostgreSQL se importará en el almacén de confianza de VMware Cloud Director en las otras celdas de VMware Cloud Director la siguiente vez que se ejecute la función appliance-sync. La operación puede durar hasta 60 segundos.

Qué hacer a continuación

Si es necesario, se puede reemplazar un certificado autofirmado por un certificado que esté firmado por una entidad de certificación externa o interna.