Par défaut, la base de données PostgreSQL intégrée et l'interface utilisateur de gestion des dispositifs VMware Cloud Director partagent un ensemble de certificats SSL auto-signés. Pour une sécurité accrue, vous pouvez remplacer les certificats auto-signés par défaut par des certificats signés par une autorité de certification.

Lorsque vous déployez le dispositif VMware Cloud Director, il génère des certificats auto-signés avec une période de validité de 365 jours. Le dispositif VMware Cloud Director utilise deux ensembles de certificats SSL. À partir de VMware Cloud Director 10.4, le trafic du proxy de la console et les communications HTTPS passent par le port 443 par défaut et le service VMware Cloud Director utilise un certificat pour les communications HTTPS qui incluent les communications de proxy de console. La base de données PostgreSQL intégrée et l'interface utilisateur de gestion de dispositifs VMware Cloud Director partagent l'autre ensemble de certificats SSL.

Note : Le processus de remplacement des certificats de l'interface utilisateur de gestion de base de données et de dispositifs n'affecte pas le certificat pour les communications HTTPS et de proxy de console. Le remplacement du certificat HTTPS ne signifie pas que vous devez remplacer les autres.

Procédure

  1. Envoyez la demande de signature de certificat se trouvant dans /opt/vmware/appliance/etc/ssl/vcd_ova.csr à l'autorité de certification pour signature.
  2. Si vous remplacez le certificat pour la base de données principale, placez tous les autres nœuds en mode de maintenance afin d'éviter tout risque de perte de données.
  3. Remplacez le certificat de format PEM existant sur /opt/vmware/appliance/etc/ssl/vcd_ova.crt par le certificat signé, obtenu de votre autorité de certification à l'étape 1.
  4. Pour récupérer le nouveau certificat, redémarrez les services vpostgres, nginx et vcd_ova_ui. 
    systemctl restart nginx.service && systemctl restart vcd_ova_ui.service
    systemctl restart vpostgres.service
  5. Si vous remplacez le certificat de la base de données principale, sortez tous les autres nœuds du mode de maintenance.
    Reportez-vous à la section Gestion d'une cellule.

Résultats

Le nouveau certificat est importé dans le magasin d'approbations VMware Cloud Director sur les autres cellules VMware Cloud Director lors de la prochaine exécution de la fonction appliance-sync. L'opération peut prendre jusqu'à 60 secondes.