A partir de vSphere Bitfusion 4.5.2, mediante los comandos de la CLI y el complemento de vSphere Bitfusion, puede renovar los certificados de los clientes y los servidores de vSphere Bitfusion.
Se genera una clave de par de entidad de certificación (Certificate Authority, CA) cuando la primera máquina virtual de un servidor de
vSphere Bitfusion se une a un clúster de
vSphere Bitfusion. El certificado es responsable de autenticar todas las conexiones de cliente a servidor, de servidor a servidor, de servidor a base de datos y de base de datos a base de datos. Todos los servidores posteriores que se unen al clúster leen el certificado y firman sus claves de par en la CA del servidor principal. Para garantizar la redundancia,
vSphere Bitfusion guarda la información de la entidad de certificación en la base de datos Apache Cassandra, por ejemplo, si se produce un error en el servidor principal.
Nota: A partir de
vSphere Bitfusion 4.5.2, el período de caducidad predeterminado de los certificados se amplía a 20 años. Para
vSphere Bitfusion 4.5.1 y versiones anteriores, los certificados caducan después de un año.
Para renovar los certificados en los servidores y los clientes de
vSphere Bitfusion, complete el siguiente procedimiento.
Procedimiento
- Cree certificados de servidor.
- Abra una aplicación de terminal y ejecute el comando
ssh customer@ip_address
, donde ip_address es la dirección IP del servidor principal de vSphere Bitfusion.
Puede obtener la dirección IP del servidor de
vSphere Bitfusion en el complemento de
vSphere Bitfusion.
- Introduzca la contraseña del cliente que especificó durante la implementación del servidor principal de vSphere Bitfusion.
- Para generar certificados de servidor, ejecute el comando
sudo bitfusion tls-certs gen
.
Los archivos de certificado
ca.crt.xxx y
ca.key.xxx se generan en la carpeta
/etc/bitfusion/tls/, donde
xxx es el sufijo del nombre de archivo. Por ejemplo,
ca.key.20220408-202701 y
ca.crt.20220408-202701.
- Copie los certificados del servidor de vSphere Bitfusion principal a todos los servidores posteriores.
- Desde el servidor principal de vSphere Bitfusion, copie los archivos de certificado en la máquina local ejecutando el siguiente comando, donde ip_address_primary es la dirección IP del servidor principal de vSphere Bitfusion y xxx es el sufijo del nombre de archivo.
scp customer@ip_address_primary:ca.crt.xxx .
scp customer@ip_address_primary:ca.key.xxx .
- Desde el equipo local, copie los archivos de certificado del equipo local en un servidor de vSphere Bitfusion posterior ejecutando el siguiente comando, donde ip_address_subsequent es la dirección IP del servidor vSphere Bitfusion posterior y xxx es el sufijo del nombre de archivo.
scp ca.crt.xxx customer@ip_address_subsequent:~/
scp ca.key.xxx customer@ip_address_subsequent:~/
- Importe el certificado a todos los servidores de vSphere Bitfusion posteriores.
- Abra una aplicación de terminal y ejecute el comando
ssh customer@ip_address
, donde ip_address es la dirección IP del servidor de vSphere Bitfusion posterior.
Puede obtener la dirección IP del servidor de
vSphere Bitfusion en el complemento de
vSphere Bitfusion.
- Introduzca la contraseña del cliente que especificó durante la implementación del servidor de vSphere Bitfusion posterior.
- Para importar los certificados, ejecute el
sudo bitfusion tls-certs import --cakeypath ca.key.xxx --cacertpath ca.crt.xxx
, dondeca.key.xxx y ca.crt.xxx son los archivos de los certificados y xxx es el sufijo del nombre de archivo.
Por ejemplo, ejecute
sudo bitfusion tls-certs import --cakeypath ca.key.20220408-202701 --cacertpath ca.crt.20220408-202701
.
- Reinicie el servicio de vSphere Bitfusion ejecutando el comando
sudo systemctl restart bitfusion
.
Debe reiniciar el servicio en todos los servidores de
vSphere Bitfusion del clúster.
- Renueve los certificados de cliente.
- En vSphere Client, seleccione .
- En la pestaña Configuración, expanda Renovar certificados de cliente.
- Seleccione Renovar certificados.
- Si instaló un cliente de vSphere Bitfusion en un equipo sin sistema operativo, renueve los certificados manualmente.
En los siguientes comandos,
ip_address_server es la dirección IP del servidor de
vSphere Bitfusion,
ip_address_client es la dirección IP del cliente de
vSphere Bitfusion y
xxx es el sufijo del nombre de archivo.
- En la máquina local, copie el archivo ca.crt.xxx de un servidor de vSphere Bitfusion en el cliente.
scp customer@ip_address_server:ca.crt.xxx .
scp ca.crt.xxx customer@ip_address_client:~/
- En el terminal de la máquina cliente, mueva el archivo ca.crt.xxx a la carpeta /etc/bitfusion/tls/.
ssh customer@ip_address_client "sudo chown bitfusion:bitfusion ca.crt.xxx; sudo chmod 640 ca.crt.xxx; sudo cp ca.crt.xxx /etc/bitfusion/tls/ca.crt"
Resultados
Se renovaron los certificados de todos los servidores y clientes de
vSphere Bitfusion del clúster. Los nuevos certificados caducan en 20 años.