Después de implementar vCloud Usage Meter, el dispositivo genera un certificado SSL autofirmado. Cuando acceda a la interfaz web de vCloud Usage Meter mediante HTTPS por primera vez, se le solicitará que indique manualmente que confía en el certificado autofirmado.

Puede proteger la conexión con vCloud Usage Meter reemplazando el certificado autofirmado de vCloud Usage Meter por un certificado firmado por una entidad de certificación (CA) externa o interna.

Cuando se ejecuta, todas las aplicaciones de vCloud Usage Meter utilizan el mismo almacén de claves y el mismo almacén de certificados de CA. Los certificados NGINX se actualizan al iniciarse el sistema operativo. A menos que se indique específicamente, puede ejecutar comandos en la consola de vCloud Usage Meter como usagemeter.

Para permitir la interacción remota con la consola de vCloud Usage Meter, puede activar SSH o invocar los comandos en una consola web de vSphere.

El dispositivo de vCloud Usage Meter almacena los certificados en un almacén de claves de Java en /opt/vmware/cloudusagemetering/platform/security/keystore.

El almacén de claves de certificados de CA se encuentra en /opt/vmware/cloudusagemetering/platform/security/cacerts.

Importar un certificado firmado por una entidad de certificación (CA) interna

Si desea reemplazar el certificado de vCloud Usage Meter por un certificado firmado por una entidad de certificación (CA) interna de su organización, primero debe importar la entidad de certificación en el dispositivo de vCloud Usage Meter.

Requisitos previos

  • Compruebe que tiene acceso a la consola de vCloud Usage Meter como usagemeter.
  • Compruebe que tiene acceso a la consola de vCloud Usage Meter como root

Procedimiento

  1. Inicie sesión en la consola de vCloud Usage Meter como usagemeter y detenga todos los servicios del dispositivo. 
    cd /opt/vmware/cloudusagemetering
    ./scripts/stop.sh All
  2. Exporte las variables de entorno. 
    export $(grep -v '^#' "/opt/vmware/cloudusagemetering/platform/conf/env.properties" | xargs)
  3. Establezca una confianza entre el dispositivo de vCloud Usage Meter y el certificado firmado por la entidad de certificación interna.
    Escriba un nombre que identifique el certificado dentro del almacén de claves en la propiedad alias en el siguiente comando. 
    keytool -import -trustcacerts -file filepath-to-the-certificate -alias custom-internal-certificate-authority -keystore /opt/vmware/cloudusagemetering/platform/security/cacerts -storetype BCFKS -providerclass org.bouncycastle.jcajce.provider.BouncyCastleFipsProvider -providerpath /opt/vmware/cloudusagemetering/platform/lib/bc-fips-1.0.2.1.jar -storepass "${TRUST_STORE_PASSWORD}"
  4. Inicie sesión como root y reinicie el dispositivo de vCloud Usage Meter. 
    reboot

Instalar un certificado firmado por una entidad de certificación (CA)

Para establecer una conexión de red segura con la interfaz web de vCloud Usage Meter, puede instalar un certificado SSL firmado por una entidad de certificación (Certification Authority, CA) en el dispositivo de vCloud Usage Meter.

Para obtener un certificado firmado por una CA y una clave privada, debe generar una solicitud de firma de certificado. La entidad de certificación utiliza la solicitud para generar el certificado oficial.

Requisitos previos

  • Compruebe que tiene acceso a la consola de vCloud Usage Meter como usagemeter.
  • De la entidad de certificación, obtenga la clave privada y el certificado firmado. Ambos archivos deben estar en formato PEM.
  • Si el certificado está firmado por una entidad de certificación interna, primero debe importar la entidad de certificación en el dispositivo de vCloud Usage Meter. Para obtener información, consulte Importar un certificado firmado por una entidad de certificación (CA) interna.

Procedimiento

  1. Inicie sesión en la consola de vCloud Usage Meter como usagemeter y detenga todos los servicios del dispositivo. 
    cd /opt/vmware/cloudusagemetering
    ./scripts/stop.sh All
  2. Exporte las variables de entorno. 
    export $(grep -v '^#' "/opt/vmware/cloudusagemetering/platform/conf/env.properties" | xargs)
  3. Realice una copia de seguridad del certificado del dispositivo de vCloud Usage Meter existente.
    1. Realice una copia de seguridad del almacén de claves existente. 
      mv /opt/vmware/cloudusagemetering/platform/security/keystore /opt/vmware/cloudusagemetering/platform/security/keystore.backup
    2. Mueva la entrada del almacén de claves existente del alias especificado a un alias nuevo que se encuentre en el parámetro destalias. 
      keytool -changealias -alias "usage-meter-platform" -destalias "usage-meter-platform-backup" -keystore /opt/vmware/cloudusagemetering/platform/security/cacerts -storetype BCFKS -providerclass org.bouncycastle.jcajce.provider.BouncyCastleFipsProvider -providerpath /opt/vmware/cloudusagemetering/platform/lib/bc-fips-1.0.2.1.jar -storepass "${TRUST_STORE_PASSWORD}"
  4. Importe el certificado firmado por la CA y la clave privada al dispositivo de vCloud Usage Meter.
    1. Cree un directorio temporal y establezca la ruta del directorio en la variable de entorno NGINX_FOLDER. 
      export NGINX_FOLDER=$(mktemp -d)
    2. Cree dos subdirectorios temporales dentro del directorio temporal. 
      mkdir ${NGINX_FOLDER}/private
      mkdir ${NGINX_FOLDER}/certs
    3. Cargue el certificado firmado por la CA en la carpeta ${NGINX_FOLDER}/certs/ y cambie el nombre del archivo a nginx-selfsigned.crt.
    4. Cargue la clave privada firmada por la CA en la carpeta ${NGINX_FOLDER}/private/ y cambie el nombre del archivo a nginx-selfsigned.key.
  5. Cree un nuevo almacén de claves para el certificado firmado por la CA. 
    ./platform/bin/create-keystore.sh
  6. (opcional) Elimine todas las carpetas temporales y de copia de seguridad, y elimine el certificado de vCloud Usage Meter antiguo. 
    rm -rf $NGINX_FOLDER
    rm /opt/vmware/cloudusagemetering/platform/security/keystore.backup
    keytool -delete -alias "usage-meter-platform-backup" -keystore /opt/vmware/cloudusagemetering/platform/security/cacerts -storetype BCFKS -providerclass org.bouncycastle.jcajce.provider.BouncyCastleFipsProvider -providerpath /opt/vmware/cloudusagemetering/platform/lib/bc-fips-1.0.2.1.jar -storepass "${TRUST_STORE_PASSWORD}"
  7. Configure los permisos del almacén de claves. 
    chmod 0640 /opt/vmware/cloudusagemetering/platform/security/keystore
  8. Reinicie el dispositivo vCloud Usage Meter.
    Si se instala correctamente el certificado SSL firmado por una CA en el dispositivo vCloud Usage Meter, no se mostrará ninguna advertencia de seguridad la próxima vez que inicie sesión en la interfaz web de vCloud Usage Meter.

Reemplazar el certificado SSL autofirmado del dispositivo predeterminado por un nuevo certificado autofirmado

Puede reemplazar el certificado autofirmado del dispositivo de vCloud Usage Meter predeterminado generando e instalando un nuevo certificado autofirmado.

Requisitos previos

  • Compruebe que tiene acceso a la consola de vCloud Usage Meter como usagemeter.
  • Compruebe que tiene acceso a la consola de vCloud Usage Meter como root.

Procedimiento

  1. Inicie sesión en la consola de vCloud Usage Meter como usagemeter y detenga todos los servicios del dispositivo. 
    cd /opt/vmware/cloudusagemetering
    ./scripts/stop.sh All
  2. Exporte las variables de entorno. 
    export $(grep -v '^#' "/opt/vmware/cloudusagemetering/platform/conf/env.properties" | xargs)
  3. Realice una copia de seguridad del certificado del dispositivo de vCloud Usage Meter existente.
    1. Realice una copia de seguridad del almacén de claves existente. 
      mv /opt/vmware/cloudusagemetering/platform/security/keystore /opt/vmware/cloudusagemetering/platform/security/keystore.backup
    2. Mueva la entrada del almacén de claves existente del alias especificado a un alias nuevo que se encuentre en el parámetro destalias. 
      keytool -changealias -alias "usage-meter-platform" -destalias "usage-meter-platform-backup" -keystore /opt/vmware/cloudusagemetering/platform/security/cacerts -storetype BCFKS -providerclass org.bouncycastle.jcajce.provider.BouncyCastleFipsProvider -providerpath /opt/vmware/cloudusagemetering/platform/lib/bc-fips-1.0.2.1.jar -storepass "${TRUST_STORE_PASSWORD}"
  4. Cree un directorio temporal y establezca la ruta del directorio en la variable de entorno NGINX_FOLDER. 
    export NGINX_FOLDER=$(mktemp -d)
  5. Genere un nuevo certificado autofirmado. 
    ./platform/bin/create-keystore.sh
  6. (opcional) Elimine todas las carpetas temporales y de copia de seguridad, y elimine el certificado de vCloud Usage Meter antiguo. 
    rm -rf $NGINX_FOLDER
    rm /opt/vmware/cloudusagemetering/platform/security/keystore.backup
    keytool -delete -alias "usage-meter-platform-backup" -keystore /opt/vmware/cloudusagemetering/platform/security/cacerts -storetype BCFKS -providerclass org.bouncycastle.jcajce.provider.BouncyCastleFipsProvider -providerpath /opt/vmware/cloudusagemetering/platform/lib/bc-fips-1.0.2.1.jar -storepass "${TRUST_STORE_PASSWORD}"
  7. Configure los permisos del almacén de claves. 
    chmod 0640 /opt/vmware/cloudusagemetering/platform/security/keystore
  8. Inicie sesión como root y reinicie el dispositivo de vCloud Usage Meter. 
    reboot

Importar un certificado al almacén de claves del dispositivo de vCloud Usage Meter

Si la instancia de que desea agregar para la medición utiliza entidades de configuración de redes y seguridad, como un equilibrador de carga, un proxy o un firewall, o si utiliza un proxy sobre HTTPS, debe importar sus certificados al almacén de claves del dispositivo de vCloud Usage Meter.

Para importar el certificado de una entidad de configuración de redes y seguridad al almacén de claves del dispositivo de vCloud Usage Meter, debe obtener la contraseña del almacén de confianza. La contraseña se encuentra en /opt/vmware/cloudusagemetering/conf/local.conf.

Requisitos previos

  • Compruebe que tiene acceso al dispositivo de vCloud Usage Meter como usagemeter.

  • Compruebe que tiene acceso al dispositivo de vCloud Usage Meter como root.

Procedimiento

  1. Inicie sesión en el dispositivo de vCloud Usage Meter como usagemeter.
  2. Para extraer la contraseña de trustore en una variable de entorno, ejecute el siguiente comando. 
    export TRUSTOREPASS=$(grep "trustStorePassword" /opt/vmware/cloudusagemetering/conf/local.conf | cut -d' ' -f2-)
  3. Para importar el certificado al almacén de claves del dispositivo de vCloud Usage Meter, ejecute el siguiente comando. 
    keytool -import -trustcacerts -alias certificate-alias -file certificate-file -keystore 
/opt/vmware/cloudusagemetering/resources/cacerts.bcfks -storetype bcfks -storepass "${TRUSTOREPASS}" -providername BCFIPS -providerclass 
org.bouncycastle.jcajce.provider.BouncyCastleFipsProvider -providerpath /opt/vmware/cloudusagemetering/jars/bc-fips-*.jar
  4. Inicie sesión como root y reinicie el dispositivo de vCloud Usage Meter. 
    reboot