De forma predeterminada, VMware Cloud Gateway utiliza el certificado autofirmado que se genera durante la instalación. El certificado se puede reemplazar cuando caduque o cuando desee utilizar un certificado de otro proveedor de certificados.

Nota: Solo debe utilizar un certificado firmado por una entidad de certificación.

Procedimiento

  1. Conéctese a VMware Cloud Gateway mediante SSH.
  2. Para obtener un certificado firmado por una entidad de certificación, debe generar el certificado siguiendo estos pasos:
    1. Para generar una solicitud de firma del certificado (CSR), escriba el siguiente comando en la línea de comandos:
      openssl req -new -newkey rsa:4096 -nodes -out server.csr -keyout server.key
    2. Proporcione la CSR a la entidad de certificación según el proceso de solicitud.
    3. Cuando reciba el certificado de su CA, colóquelo en una ubicación a la que pueda acceder desde el VMware Cloud Gateway.
    4. Si no es una entidad de certificación conocida, compruebe que los siguientes parámetros para la entidad de certificación raíz estén configurados de la siguiente manera: 
       X509v3 extensions:
            X509v3 Basic Constraints: critical
                CA:TRUE
            X509v3 Key Usage: critical
                Digital Signature, Key Encipherment, Certificate Sign, CRL Sign
      Nota: Establezca el cifrado de clave en el certificado SSL de máquina o endpoint.
    5. Obtenga los siguientes archivos de la CA:
      • server.key: clave privada de VMware Cloud Gateway.
      • server.crt: certificado de hoja de VMware Cloud Gateway firmado por la CA y todos los certificados de CA intermedios (si los hubiera).
      • rootCA.pem: certificado raíz de una entidad de certificación en la cadena de certificados.
  3. Para generar el archivo server.pem, que es la cadena de certificados completa, incluidos server.crt, todas las entidades de certificación intermedias (si las hubiera) y la clave privada (server.key), escriba el siguiente comando:
    cat server.crt server.key > server.pem
    El archivo server.pem debe incluir los detalles en el siguiente orden: 
    ---BEGIN CERTIFICATE---
<CERT>
---END CERTIFICATE---
---BEGIN PRIVATE KEY---
<KEY>
---END PRIVATE KEY---
  4. Para realizar una copia de seguridad de los archivos server.pem y rootCA.pem existentes en el directorio /etc/applmgmt/appliance, escriba los siguientes comandos:
    cp -p /etc/applmgmt/appliance/server.pem /etc/applmgmt/appliance/server.pem.bak
    cp -p /etc/applmgmt/appliance/rootCA.pem /etc/applmgmt/appliance/rootCA.pem.bak
  5. Para reemplazar los archivos server.pem y rootCA.pem con los archivos nuevos, escriba el siguiente comando:
    cp -p server.pem rootCA.pem /etc/applmgmt/appliance/
  6. Reinicie los siguientes servicios en el mismo orden:
    systemctl restart gps_envoy.service
    systemctl restart aap_envoy.service
    systemctl restart rsyslog.service
  7. Reinicie el servicio de aca_watchdog para reiniciar todos los agentes VAP que están en ejecución.
    systemctl restart aca_watchdog.service