Después de implementar vCloud Usage Meter, el dispositivo genera un certificado SSL autofirmado. Cuando acceda a la interfaz web de vCloud Usage Meter mediante HTTPS por primera vez, se le solicitará que indique manualmente que confía en el certificado autofirmado.

Puede proteger la conexión con vCloud Usage Meter reemplazando el certificado autofirmado de vCloud Usage Meter por un certificado firmado por una entidad de certificación (CA) externa o interna.

Cuando se ejecuta, todas las aplicaciones de vCloud Usage Meter utilizan el mismo almacén de claves y el mismo almacén de certificados de CA. Los certificados NGINX se actualizan al iniciarse el sistema operativo. A menos que se indique específicamente, puede ejecutar comandos en la consola de vCloud Usage Meter como usagemeter.

Para permitir la interacción remota con la consola de vCloud Usage Meter, puede activar SSH o invocar los comandos en una consola web de vSphere.

El dispositivo de vCloud Usage Meter almacena los certificados en un almacén de claves de Java en /opt/vmware/cloudusagemetering/platform/security/keystore.

El almacén de claves de certificados de CA se encuentra en /opt/vmware/cloudusagemetering/platform/security/cacerts.

Importar un certificado firmado por una entidad de certificación (CA) interna para un dispositivo de vCloud Usage Meter con el modo FIPS habilitado

Si desea reemplazar el certificado de vCloud Usage Meter por un certificado firmado por una entidad de certificación (CA) interna, primero debe importar la CA en el dispositivo de vCloud Usage Meter con el modo FIPS habilitado.

Requisitos previos

  • Compruebe que tiene acceso a la consola de vCloud Usage Meter como usagemeter.
  • Compruebe que FIPS esté habilitado para el dispositivo de vCloud Usage Meter. Para ello, desplácese hasta Configuración > Seguridad.

Procedimiento

  1. Inicie sesión en la consola de vCloud Usage Meter como usagemeter y detenga todos los servicios del dispositivo. 
    cd /opt/vmware/cloudusagemetering
    ./scripts/stop.sh All
    sudo systemctl stop vmware-um-journal.service
    sudo systemctl stop vmware-um-login.service
    sudo systemctl stop vmware-um-schedule.service
  2. Exporte las variables de entorno. 
    export $(grep -v '^#' "/opt/vmware/cloudusagemetering/platform/conf/env.properties" | xargs)
  3. Establezca la confianza entre el dispositivo de vCloud Usage Meter con el modo FIPS habilitado y el certificado firmado por la entidad de certificación interna.
    Escriba un nombre que identifique el certificado dentro del almacén de claves en la propiedad alias en el siguiente comando.
    Nota: Si el modo FIPS está desactivado para el dispositivo de vCloud Usage Meter, consulte Importar un certificado firmado por una entidad de certificación (CA) interna para un dispositivo de vCloud Usage Meter con el modo FIPS desactivado. 
    keytool -import -trustcacerts -file filepath-to-the-certificate -alias custom-internal-certificate-authority -keystore /opt/vmware/cloudusagemetering/platform/security/cacerts -storetype BCFKS -providerclass org.bouncycastle.jcajce.provider.BouncyCastleFipsProvider -providerpath /opt/vmware/cloudusagemetering/platform/lib/bc-fips-1.0.2.1.jar -storepass "${TRUST_STORE_PASSWORD}"
  4. Reinicie el dispositivo de vCloud Usage Meter con el modo FIPS habilitado. 
    sudo reboot

Importar un certificado firmado por una entidad de certificación (CA) interna para un dispositivo de vCloud Usage Meter con el modo FIPS desactivado

Si desea reemplazar el certificado de un dispositivo de vCloud Usage Meter con el modo FIPS desactivado por un certificado firmado por una entidad de certificación (CA) interna, primero debe importar la CA al dispositivo.

Requisitos previos

  • Compruebe que tiene acceso a la consola de vCloud Usage Meter como usagemeter.
  • Compruebe que FIPS esté desactivado para el dispositivo de vCloud Usage Meter. Para ello, desplácese hasta Configuración > Seguridad.

Procedimiento

  1. Inicie sesión en la consola de vCloud Usage Meter como usagemeter y detenga todos los servicios del dispositivo. 
    cd /opt/vmware/cloudusagemetering
    ./scripts/stop.sh All
    sudo systemctl stop vmware-um-journal.service
    sudo systemctl stop vmware-um-login.service
    sudo systemctl stop vmware-um-schedule.service
  2. Exporte las variables de entorno. 
    export $(grep -v '^#' "/opt/vmware/cloudusagemetering/platform/conf/env.properties" | xargs)
  3. Establezca la confianza entre el dispositivo de vCloud Usage Meter con el modo FIPS desactivado y el certificado firmado por la entidad de certificación interna.
    Escriba un nombre que identifique el certificado dentro del almacén de claves en la propiedad alias en el siguiente comando. 
    keytool -import -trustcacerts -file filepath-to-the-certificate -alias custom-internal-certificate-authority -keystore /opt/vmware/cloudusagemetering/platform/security/cacerts -storepass "${TRUST_STORE_PASSWORD}"
  4. Reinicie el dispositivo de vCloud Usage Meter con el modo FIPS desactivado. 
    sudo reboot

Instalar un certificado firmado por una entidad de certificación (CA) para un dispositivo de vCloud Usage Meter con el modo FIPS habilitado

Para establecer una conexión de red segura con la interfaz web de vCloud Usage Meter, puede instalar un certificado SSL firmado por una entidad de certificación (Certification Authority, CA) en el dispositivo de vCloud Usage Meter con el modo FIPS habilitado.

Para obtener un certificado firmado por una CA y una clave privada, debe generar una solicitud de firma de certificado. La entidad de certificación utiliza la solicitud para generar el certificado oficial.

Requisitos previos

  • Compruebe que tiene acceso a la consola de vCloud Usage Meter como usagemeter.
  • De la entidad de certificación, obtenga la clave privada y el certificado firmado. Ambos archivos deben estar en formato PEM.
  • Compruebe que FIPS esté habilitado para el dispositivo de vCloud Usage Meter. Para ello, desplácese hasta Configuración > Seguridad.

Procedimiento

  1. Si el certificado está firmado por una entidad de certificación interna, primero debe importar la entidad de certificación en el dispositivo de vCloud Usage Meter. Para obtener información, consulte Importar un certificado firmado por una entidad de certificación (CA) interna para un dispositivo de vCloud Usage Meter con el modo FIPS habilitado.
  2. Inicie sesión en la consola de vCloud Usage Meter como usagemeter y detenga todos los servicios del dispositivo. 
    cd /opt/vmware/cloudusagemetering
    ./scripts/stop.sh All
    sudo systemctl stop vmware-um-journal.service
    sudo systemctl stop vmware-um-login.service
    sudo systemctl stop vmware-um-schedule.service
  3. Exporte las variables de entorno. 
    export $(grep -v '^#' "/opt/vmware/cloudusagemetering/platform/conf/env.properties" | xargs)
  4. Realice una copia de seguridad del certificado del dispositivo de vCloud Usage Meter existente.
    1. Realice una copia de seguridad del almacén de claves existente. 
      mv /opt/vmware/cloudusagemetering/platform/security/keystore /opt/vmware/cloudusagemetering/platform/security/keystore.backup
    2. Mueva la entrada del almacén de claves existente del alias especificado a un alias nuevo que se encuentre en el parámetro destalias.
      Nota: Si el modo FIPS está desactivado para el dispositivo de vCloud Usage Meter, consulte Instalar un certificado firmado por una entidad de certificación (CA) para un dispositivo de vCloud Usage Meter con el modo FIPS desactivado. 
      keytool -changealias -alias "usage-meter-platform" -destalias "usage-meter-platform-backup" -keystore /opt/vmware/cloudusagemetering/platform/security/cacerts -storetype BCFKS -providerclass org.bouncycastle.jcajce.provider.BouncyCastleFipsProvider -providerpath /opt/vmware/cloudusagemetering/platform/lib/bc-fips-1.0.2.1.jar -storepass "${TRUST_STORE_PASSWORD}"
  5. Importe el certificado firmado por la CA y la clave privada al dispositivo de vCloud Usage Meter.
    1. Cree un directorio temporal y establezca la ruta del directorio en la variable de entorno NGINX_FOLDER. 
      export NGINX_FOLDER=$(mktemp -d)
    2. Cree dos subdirectorios temporales dentro del directorio temporal. 
      mkdir ${NGINX_FOLDER}/private
      mkdir ${NGINX_FOLDER}/certs
    3. Cargue el certificado firmado por la CA en la carpeta ${NGINX_FOLDER}/certs/ y cambie el nombre del archivo a nginx-selfsigned.crt.
    4. Cargue la clave privada firmada por la CA en la carpeta ${NGINX_FOLDER}/private/ y cambie el nombre del archivo a nginx-selfsigned.key.
  6. Cree un nuevo almacén de claves para el certificado firmado por la CA.
    Nota: Asegúrese de que está en el directorio /opt/vmware/cloudusagemetering. 
    ./platform/bin/create-keystore.sh
  7. (opcional) Elimine todas las carpetas temporales y de copia de seguridad, y elimine el certificado de vCloud Usage Meter antiguo. 
    rm -rf $NGINX_FOLDER
    rm /opt/vmware/cloudusagemetering/platform/security/keystore.backup
    keytool -delete -alias "usage-meter-platform-backup" -keystore /opt/vmware/cloudusagemetering/platform/security/cacerts -storetype BCFKS -providerclass org.bouncycastle.jcajce.provider.BouncyCastleFipsProvider -providerpath /opt/vmware/cloudusagemetering/platform/lib/bc-fips-1.0.2.1.jar -storepass "${TRUST_STORE_PASSWORD}"
  8. Configure los permisos del almacén de claves. 
    chmod 0640 /opt/vmware/cloudusagemetering/platform/security/keystore
  9. Reinicie el dispositivo vCloud Usage Meter. 
    sudo reboot
    Si se instala correctamente el certificado SSL firmado por una CA en el dispositivo vCloud Usage Meter, no se mostrará ninguna advertencia de seguridad la próxima vez que inicie sesión en la interfaz web de vCloud Usage Meter.

Instalar un certificado firmado por una entidad de certificación (CA) para un dispositivo de vCloud Usage Meter con el modo FIPS desactivado

Para establecer una conexión de red segura con la interfaz web de vCloud Usage Meter, puede instalar un certificado SSL firmado por una entidad de certificación (Certification Authority, CA) en el dispositivo de vCloud Usage Meter con el modo FIPS desactivado.

Para obtener un certificado firmado por una CA y una clave privada, debe generar una solicitud de firma de certificado. La entidad de certificación utiliza la solicitud para generar el certificado oficial.

Requisitos previos

  • Compruebe que tiene acceso a la consola de vCloud Usage Meter como usagemeter.
  • De la entidad de certificación, obtenga la clave privada y el certificado firmado. Ambos archivos deben estar en formato PEM.
  • Compruebe que FIPS esté desactivado para el dispositivo de vCloud Usage Meter. Para ello, desplácese hasta Configuración > Seguridad.

Procedimiento

  1. Si el certificado está firmado por una entidad de certificación interna, primero debe importar la entidad de certificación en el dispositivo de vCloud Usage Meter con FIPS desactivado. Para obtener información, consulte Importar un certificado firmado por una entidad de certificación (CA) interna para un dispositivo de vCloud Usage Meter con el modo FIPS desactivado.
  2. Inicie sesión en la consola de vCloud Usage Meter como usagemeter y detenga todos los servicios del dispositivo. 
    cd /opt/vmware/cloudusagemetering
    ./scripts/stop.sh All
    sudo systemctl stop vmware-um-journal.service
    sudo systemctl stop vmware-um-login.service
    sudo systemctl stop vmware-um-schedule.service
  3. Exporte las variables de entorno. 
    export $(grep -v '^#' "/opt/vmware/cloudusagemetering/platform/conf/env.properties" | xargs)
  4. Realice una copia de seguridad del certificado del dispositivo de vCloud Usage Meter existente.
    1. Realice una copia de seguridad del almacén de claves existente. 
      mv /opt/vmware/cloudusagemetering/platform/security/keystore /opt/vmware/cloudusagemetering/platform/security/keystore.backup
    2. Mueva la entrada del almacén de claves existente del alias especificado a un alias nuevo que se encuentre en el parámetro destalias. 
      keytool -changealias -alias "usage-meter-platform" -destalias "usage-meter-platform-backup" -keystore /opt/vmware/cloudusagemetering/platform/security/cacerts -storepass "${TRUST_STORE_PASSWORD}"
  5. Importe el certificado firmado por una CA con el modo FIPS desactivado y la clave privada al dispositivo de vCloud Usage Meter con el modo FIPS desactivado.
    1. Cree un directorio temporal y establezca la ruta del directorio en la variable de entorno NGINX_FOLDER. 
      export NGINX_FOLDER=$(mktemp -d)
    2. Cree dos subdirectorios temporales dentro del directorio temporal. 
      mkdir ${NGINX_FOLDER}/private
      mkdir ${NGINX_FOLDER}/certs
    3. Cargue el certificado firmado por la CA en la carpeta ${NGINX_FOLDER}/certs/ y cambie el nombre del archivo a nginx-selfsigned.crt.
    4. Cargue la clave privada firmada por la CA en la carpeta ${NGINX_FOLDER}/private/ y cambie el nombre del archivo a nginx-selfsigned.key.
  6. Cree un nuevo almacén de claves para el certificado firmado por la CA.
    Nota: Asegúrese de que está en el directorio /opt/vmware/cloudusagemetering. 
    ./platform/bin/create-keystore.sh
  7. (opcional) Elimine todas las carpetas temporales y de copia de seguridad, y elimine el certificado de vCloud Usage Meter antiguo. 
    rm -rf $NGINX_FOLDER
    rm /opt/vmware/cloudusagemetering/platform/security/keystore.backup
    keytool -delete -alias "usage-meter-platform-backup" -keystore /opt/vmware/cloudusagemetering/platform/security/cacerts -storepass "${TRUST_STORE_PASSWORD}"
  8. Configure los permisos del almacén de claves. 
    chmod 0640 /opt/vmware/cloudusagemetering/platform/security/keystore
  9. Reinicie el dispositivo de vCloud Usage Meter con el modo FIPS desactivado. 
    sudo reboot
    Si se instala correctamente el certificado SSL firmado por una CA en el dispositivo de vCloud Usage Meter con el modo FIPS desactivado, no se mostrará ninguna advertencia de seguridad la próxima vez que inicie sesión en la interfaz web de vCloud Usage Meter.

Reemplazar el certificado SSL autofirmado del dispositivo predeterminado por un nuevo certificado autofirmado para un dispositivo de vCloud Usage Meter con el modo FIPS habilitado

Puede reemplazar el certificado autofirmado predeterminado para un dispositivo de vCloud Usage Meter con el modo FIPS habilitado generando e instalando un nuevo certificado autofirmado.

Requisitos previos

  • Compruebe que tiene acceso a la consola de vCloud Usage Meter como usagemeter.
  • Compruebe que FIPS esté habilitado para el dispositivo de vCloud Usage Meter. Para ello, desplácese hasta Configuración > Seguridad.

Procedimiento

  1. Inicie sesión en la consola de vCloud Usage Meter como usagemeter y detenga todos los servicios del dispositivo. 
    cd /opt/vmware/cloudusagemetering
    ./scripts/stop.sh All
    sudo systemctl stop vmware-um-journal.service
    sudo systemctl stop vmware-um-login.service
    sudo systemctl stop vmware-um-schedule.service
  2. Exporte las variables de entorno. 
    export $(grep -v '^#' "/opt/vmware/cloudusagemetering/platform/conf/env.properties" | xargs)
  3. Realice una copia de seguridad del certificado del dispositivo de vCloud Usage Meter existente.
    1. Realice una copia de seguridad del almacén de claves existente. 
      mv /opt/vmware/cloudusagemetering/platform/security/keystore /opt/vmware/cloudusagemetering/platform/security/keystore.backup
    2. Mueva la entrada del almacén de claves existente del alias especificado a un alias nuevo que se encuentre en el parámetro destalias. 
      keytool -changealias -alias "usage-meter-platform" -destalias "usage-meter-platform-backup" -keystore /opt/vmware/cloudusagemetering/platform/security/cacerts -storetype BCFKS -providerclass org.bouncycastle.jcajce.provider.BouncyCastleFipsProvider -providerpath /opt/vmware/cloudusagemetering/platform/lib/bc-fips-1.0.2.1.jar -storepass "${TRUST_STORE_PASSWORD}"
  4. Cree un directorio temporal y establezca la ruta del directorio en la variable de entorno NGINX_FOLDER. 
    export NGINX_FOLDER=$(mktemp -d)
  5. Cree un almacén de claves para el nuevo certificado autofirmado.
    Nota: Asegúrese de que está en el directorio /opt/vmware/cloudusagemetering. 
    ./platform/bin/create-keystore.sh
  6. (opcional) Elimine todas las carpetas temporales y de copia de seguridad, y elimine el certificado de vCloud Usage Meter antiguo. 
    rm -rf $NGINX_FOLDER
    rm /opt/vmware/cloudusagemetering/platform/security/keystore.backup
    keytool -delete -alias "usage-meter-platform-backup" -keystore /opt/vmware/cloudusagemetering/platform/security/cacerts -storetype BCFKS -providerclass org.bouncycastle.jcajce.provider.BouncyCastleFipsProvider -providerpath /opt/vmware/cloudusagemetering/platform/lib/bc-fips-1.0.2.1.jar -storepass "${TRUST_STORE_PASSWORD}"
  7. Configure los permisos del almacén de claves. 
    chmod 0640 /opt/vmware/cloudusagemetering/platform/security/keystore
  8. Reinicie el dispositivo de vCloud Usage Meter con el modo FIPS habilitado. 
    sudo reboot

Reemplazar el certificado SSL autofirmado del dispositivo predeterminado por un nuevo certificado autofirmado para un dispositivo de vCloud Usage Meter con el modo FIPS desactivado

Puede reemplazar el certificado autofirmado predeterminado para un dispositivo de vCloud Usage Meter con el modo FIPS desactivado generando e instalando un nuevo certificado autofirmado.

Requisitos previos

  • Compruebe que tiene acceso a la consola de vCloud Usage Meter como usagemeter.
  • Compruebe que FIPS esté desactivado para el dispositivo de vCloud Usage Meter. Para ello, desplácese hasta Configuración > Seguridad.

Procedimiento

  1. Inicie sesión en la consola de vCloud Usage Meter como usagemeter y detenga todos los servicios del dispositivo. 
    cd /opt/vmware/cloudusagemetering
    ./scripts/stop.sh All
    sudo systemctl stop vmware-um-journal.service
    sudo systemctl stop vmware-um-login.service
    sudo systemctl stop vmware-um-schedule.service
  2. Exporte las variables de entorno. 
    export $(grep -v '^#' "/opt/vmware/cloudusagemetering/platform/conf/env.properties" | xargs)
  3. Realice una copia de seguridad del certificado del dispositivo de vCloud Usage Meter existente.
    1. Realice una copia de seguridad del almacén de claves existente. 
      mv /opt/vmware/cloudusagemetering/platform/security/keystore /opt/vmware/cloudusagemetering/platform/security/keystore.backup
    2. Mueva la entrada del almacén de claves existente del alias especificado a un alias nuevo que se encuentre en el parámetro destalias. 
      keytool -changealias -alias "usage-meter-platform" -destalias "usage-meter-platform-backup" -keystore /opt/vmware/cloudusagemetering/platform/security/cacerts -storepass "${TRUST_STORE_PASSWORD}"
  4. Cree un directorio temporal y establezca la ruta del directorio en la variable de entorno NGINX_FOLDER. 
    export NGINX_FOLDER=$(mktemp -d)
  5. Cree un almacén de claves para el nuevo certificado autofirmado.
    Nota: Asegúrese de que está en el directorio /opt/vmware/cloudusagemetering. 
    ./platform/bin/create-keystore.sh
  6. (opcional) Elimine todas las carpetas temporales y de copia de seguridad, y elimine el certificado de vCloud Usage Meter antiguo. 
    rm -rf $NGINX_FOLDER
    rm /opt/vmware/cloudusagemetering/platform/security/keystore.backup
    keytool -delete -alias "usage-meter-platform-backup" -keystore /opt/vmware/cloudusagemetering/platform/security/cacerts -storepass "${TRUST_STORE_PASSWORD}"
  7. Configure los permisos del almacén de claves. 
    chmod 0640 /opt/vmware/cloudusagemetering/platform/security/keystore
  8. Reinicie el dispositivo de vCloud Usage Meter con el modo FIPS desactivado. 
    sudo reboot

Importar un certificado al almacén de claves del dispositivo de vCloud Usage Meter cuando el modo FIPS está habilitado

Si la instancia que desea agregar para la medición utiliza entidades de configuración de redes y seguridad, como un equilibrador de carga, un proxy o un firewall, o si utiliza un proxy a través de HTTPS o SMTP a través de SSL/TLS, debe importar sus certificados al almacén de claves del dispositivo de vCloud Usage Meter.

Para importar el certificado de una entidad de configuración de redes y seguridad al almacén de claves del dispositivo de vCloud Usage Meter, debe obtener la contraseña del almacén de confianza. La contraseña se encuentra en /opt/vmware/cloudusagemetering/conf/env.properties.

Requisitos previos

  • Compruebe que tiene acceso al dispositivo de vCloud Usage Meter como usagemeter.
  • Compruebe que FIPS esté habilitado para el dispositivo de vCloud Usage Meter. Para ello, desplácese hasta Configuración > Seguridad.

Procedimiento

  1. Inicie sesión en la consola de vCloud Usage Meter como usagemeter y detenga todos los servicios del dispositivo. 
    cd /opt/vmware/cloudusagemetering
    ./scripts/stop.sh All
    sudo systemctl stop vmware-um-journal.service
    sudo systemctl stop vmware-um-login.service
    sudo systemctl stop vmware-um-schedule.service
  2. Para extraer la contraseña de trustore en una variable de entorno, ejecute el siguiente comando. 
    export $(grep -v '^#' "/opt/vmware/cloudusagemetering/platform/conf/env.properties" | xargs)
  3. Para importar el certificado al almacén de claves del dispositivo de vCloud Usage Meter, ejecute el siguiente comando. 
    keytool -import -trustcacerts -alias certificate-alias -file certificate-file -keystore  /opt/vmware/cloudusagemetering/resources/cacerts -storetype bcfks -storepass "${TRUST_STORE_PASSWORD}" -providername BCFIPS -providerclass org.bouncycastle.jcajce.provider.BouncyCastleFipsProvider -providerpath /opt/vmware/cloudusagemetering/jars/bc-fips-*.jar
  4. Reinicie el dispositivo de vCloud Usage Meter con el modo FIPS habilitado. 
    sudo reboot

Importar un certificado al almacén de claves del dispositivo de vCloud Usage Meter cuando el modo FIPS está desactivado

Si la instancia que desea agregar para la medición utiliza entidades de configuración de redes y seguridad, como un equilibrador de carga, un proxy o un firewall, o si utiliza un proxy a través de HTTPS o SMTP a través de SSL/TLS y FIPS está deshabilitado para el dispositivo, debe importar sus certificados al almacén de claves del dispositivo de vCloud Usage Meter.

Para importar el certificado de una entidad de configuración de redes y seguridad al almacén de claves del dispositivo de vCloud Usage Meter, debe obtener la contraseña del almacén de confianza. La contraseña se encuentra en /opt/vmware/cloudusagemetering/conf/env.properties.

Requisitos previos

  • Compruebe que tiene acceso al dispositivo de vCloud Usage Meter como usagemeter.
  • Compruebe que FIPS esté desactivado para el dispositivo de vCloud Usage Meter. Para ello, desplácese hasta Configuración > Seguridad.

Procedimiento

  1. Inicie sesión en la consola de vCloud Usage Meter como usagemeter y detenga todos los servicios del dispositivo. 
    cd /opt/vmware/cloudusagemetering
    ./scripts/stop.sh All
    sudo systemctl stop vmware-um-journal.service
    sudo systemctl stop vmware-um-login.service
    sudo systemctl stop vmware-um-schedule.service
  2. Para extraer la contraseña de trustore en una variable de entorno, ejecute el siguiente comando. 
    export $(grep -v '^#' "/opt/vmware/cloudusagemetering/platform/conf/env.properties" | xargs)
  3. Para importar el certificado al almacén de claves del dispositivo de vCloud Usage Meter, ejecute el siguiente comando. 
    keytool -import -trustcacerts -alias certificate-alias -file certificate-file -keystore  /opt/vmware/cloudusagemetering/resources/cacerts -storepass "${TRUST_STORE_PASSWORD}"
  4. Reinicie el dispositivo de vCloud Usage Meter con el modo FIPS desactivado. 
    sudo reboot