Lorsque vous déployez le dispositif VMware Cloud Director, il génère des certificats auto-signés avec une période de validité de 365 jours. Si des certificats expirent ou ont expiré dans votre environnement, vous pouvez générer de nouveaux certificats auto-signés. Vous devez renouveler les certificats pour chaque cellule VMware Cloud Director individuellement.

À partir de VMware Cloud Director 10.4, le service VMware Cloud Director utilise un certificat pour les communications HTTPS et de proxy de la console. La base de données PostgreSQL intégrée et l'interface utilisateur de gestion de dispositifs VMware Cloud Director partagent l'autre ensemble de certificats SSL.

Note : VMware Cloud Director versions 10.4.1 et ultérieures ne prennent pas en charge l'implémentation héritée de la fonctionnalité de proxy de console.

Vous pouvez modifier tous les certificats auto-signés. Sinon, si vous utilisez un certificat signé par une autorité de certification pour les communications HTTPS de VMware Cloud Director, vous pouvez uniquement modifier la base de données PostgreSQL intégrée et le certificat de l'interface utilisateur de gestion de dispositif. Les certificats signés par une autorité de certification incluent une chaîne d'approbation complète enracinée dans une autorité de certification publique connue.

Conditions préalables

Procédure

  1. Connectez-vous directement ou via SSH au système d'exploitation du dispositif VMware Cloud Director en tant qu'utilisateur racine.
  2. Pour arrêter les services VMware Cloud Director, exécutez la commande suivante.
    /opt/vmware/vcloud-director/bin/cell-management-tool -u administrator cell --shutdown
  3. Générez de nouveaux certificats auto-signés pour la base de données et l'interface utilisateur de gestion du dispositif ou pour la communication HTTPS, la base de données et l'interface utilisateur de gestion de dispositif.
    • Pour générer des certificats auto-signés uniquement pour la base de données PostgreSQL intégrée et l'interface utilisateur de gestion du dispositif VMware Cloud Director, exécutez la commande suivante :
      /opt/vmware/appliance/bin/generate-certificates.sh <root-password> --skip-vcd-certs

      Cette commande utilise automatiquement les certificats générés récemment pour la base de données PostgreSQL intégrée et l'interface utilisateur de gestion du dispositif. Les serveurs PostgreSQL et Nginx redémarrent.

    • Générez de nouveaux certificats auto-signés pour la communication HTTPS de VMware Cloud Director en plus des certificats pour la base de données PostgreSQL intégrée et l'interface utilisateur de gestion de dispositif.
      1. Exécutez la commande suivante :
        /opt/vmware/appliance/bin/generate-certificates.sh <root-password>
      2. Si vous n'utilisez pas de certificats signés par une autorité de certification, exécutez les commandes pour importer les certificats auto-signés récemment générés dans VMware Cloud Director.
        /opt/vmware/vcloud-director/bin/cell-management-tool certificates -j --cert /opt/vmware/vcloud-director/etc/user.http.pem --key /opt/vmware/vcloud-director/etc/user.http.key --key-password root_password
      3. Redémarrez le service VMware Cloud Director.
        service vmware-vcd start

      Ces commandes utilisent automatiquement les certificats générés récemment pour la base de données PostgreSQL intégrée et l'interface utilisateur de gestion du dispositif. Les serveurs PostgreSQL et Nginx redémarrent. Les commandes génèrent un nouveau certificat SSL auto-signé /opt/vmware/vcloud-director/etc/user.http.pem avec une clé privée /opt/vmware/vcloud-director/etc/user.http.key, qui est utilisée à l'étape 1.

Résultats

Les certificats auto-signés renouvelés sont visibles dans l'interface utilisateur de VMware Cloud Director.

Le nouveau certificat PostgreSQL est importé dans le magasin d'approbations VMware Cloud Director sur les autres cellules VMware Cloud Director lors de la prochaine exécution de la fonction appliance-sync. L'opération peut prendre jusqu'à 60 secondes.

Que faire ensuite

Si nécessaire, un certificat auto-signé peut être remplacé par un certificat signé par une autorité de certification externe ou interne.