Lorsque vous déployez le dispositif VMware Cloud Director, il génère des certificats auto-signés avec une période de validité de 365 jours. Si des certificats expirent ou ont expiré dans votre environnement, vous pouvez générer de nouveaux certificats auto-signés. Vous devez renouveler les certificats pour chaque cellule VMware Cloud Director individuellement. La procédure pour la version 10.4 inclut des paramètres de proxy de console.

Si vous souhaitez renouveler les certificats du dispositif VMware Cloud Director pour la version 10.4.1 ou une version ultérieure, reportez-vous à la section Renouveler les certificats du dispositif VMware Cloud Director pour la version 10.4.1 et les versions ultérieures.

À partir de VMware Cloud Director 10.4, le service VMware Cloud Director utilise un certificat pour les communications HTTPS et de proxy de la console. La base de données PostgreSQL intégrée et l'interface utilisateur de gestion de dispositifs VMware Cloud Director partagent l'autre ensemble de certificats SSL.

Note : VMware Cloud Director 10.4.1 et versions ultérieures ne prennent pas en charge l'implémentation héritée de la fonctionnalité de proxy de console.

Pour VMware Cloud Director 10.4, si vous souhaitez utiliser l'implémentation héritée avec un point d'accès de proxy de console dédié, vous pouvez activer la fonctionnalité LegacyConsoleProxy à partir du menu de paramètres Indicateurs de fonctionnalité sous l'onglet Administration du Service Provider Admin Portal. Pour activer la fonctionnalité LegacyConsoleProxy, les paramètres de proxy de console de votre installation ou de votre déploiement doivent être configurés dans une version précédente et transférés via une mise à niveau de VMware Cloud Director. Après avoir activé ou désactivé la fonctionnalité, vous devez redémarrer les cellules. Si vous activez l'implémentation du proxy de console hérité, le proxy de console doit disposer d'un certificat distinct.

Vous pouvez modifier tous les certificats auto-signés. Si vous utilisez un certificat signé par une autorité de certification pour les communications HTTPS et de proxy de console de VMware Cloud Director, vous pouvez uniquement modifier la base de données PostgreSQL intégrée et le certificat de l'interface utilisateur de gestion de dispositif. Les certificats signés par une autorité de certification incluent une chaîne d'approbation complète enracinée dans une autorité de certification publique connue.

Conditions préalables

Procédure

  1. Connectez-vous directement ou via SSH au système d'exploitation du dispositif VMware Cloud Director en tant qu'utilisateur racine.
  2. Pour arrêter les services VMware Cloud Director, exécutez la commande suivante.
    /opt/vmware/vcloud-director/bin/cell-management-tool -u administrator cell --shutdown
  3. Générez de nouveaux certificats auto-signés pour la base de données et l'interface utilisateur de gestion du dispositif ou pour la communication HTTPS et de proxy de console, la base de données et l'interface utilisateur de gestion du dispositif.
    • Pour générer des certificats auto-signés uniquement pour la base de données PostgreSQL intégrée et l'interface utilisateur de gestion du dispositif VMware Cloud Director, exécutez la commande suivante :
      /opt/vmware/appliance/bin/generate-certificates.sh <root-password> --skip-vcd-certs

      Cette commande utilise automatiquement les certificats générés récemment pour la base de données PostgreSQL intégrée et l'interface utilisateur de gestion du dispositif. Les serveurs PostgreSQL et Nginx redémarrent.

    • Générez de nouveaux certificats auto-signés pour la communication HTTPS et de proxy de console de VMware Cloud Director en plus des certificats pour la base de données PostgreSQL intégrée et l'interface utilisateur de gestion du dispositif.
      1. Exécutez la commande suivante :
        /opt/vmware/appliance/bin/generate-certificates.sh <root-password>
      2. Si vous n'utilisez pas de certificats signés par une autorité de certification, exécutez les commandes pour importer les certificats auto-signés récemment générés dans VMware Cloud Director.
        /opt/vmware/vcloud-director/bin/cell-management-tool certificates -j --cert /opt/vmware/vcloud-director/etc/user.http.pem --key /opt/vmware/vcloud-director/etc/user.http.key --key-password root_password
        /opt/vmware/vcloud-director/bin/cell-management-tool certificates -p --cert /opt/vmware/vcloud-director/etc/user.consoleproxy.pem --key /opt/vmware/vcloud-director/etc/user.consoleproxy.key --key-password root_password
      3. Redémarrez le service VMware Cloud Director.
        service vmware-vcd start

      Ces commandes utilisent automatiquement les certificats générés récemment pour la base de données PostgreSQL intégrée et l'interface utilisateur de gestion du dispositif. Les serveurs PostgreSQL et Nginx redémarrent. Les commandes génèrent les nouveaux certificats SSL auto-signés /opt/vmware/vcloud-director/etc/user.http.pem et /opt/vmware/vcloud-director/etc/user.consoleproxy.pem avec les clés privées /opt/vmware/vcloud-director/etc/user.http.key et /opt/vmware/vcloud-director/etc/user.consoleproxy.key, qui sont utilisés à l'étape 1.

Résultats

Les certificats auto-signés renouvelés sont visibles dans l'interface utilisateur de VMware Cloud Director.

Le nouveau certificat PostgreSQL est importé dans le magasin d'approbations VMware Cloud Director sur les autres cellules VMware Cloud Director lors de la prochaine exécution de la fonction appliance-sync. L'opération peut prendre jusqu'à 60 secondes.

Que faire ensuite

Si nécessaire, un certificat auto-signé peut être remplacé par un certificat signé par une autorité de certification externe ou interne.