Par défaut, VMware Cloud Gateway utilise le certificat auto-signé généré lors de l'installation. Vous pouvez remplacer le certificat lorsque celui-ci expire ou lorsque vous souhaitez utiliser un certificat d'un autre fournisseur de certificats.

Note : Vous devez utiliser uniquement un certificat signé par une autorité de certification (CA).

Procédure

  1. Connectez-vous à VMware Cloud Gateway via SSH.
  2. Pour un certificat signé par une autorité de certification, générez-le en procédant comme suit :
    1. Générez une demande de signature de certificat (CSR) en entrant la commande suivante sur la ligne de commande :
      openssl req -new -newkey rsa:4096 -nodes -out server.csr -keyout server.key
    2. Fournissez la demande de signature de certificat à votre autorité de certification en fonction de son processus de demande.
    3. Lorsque vous recevez le certificat de votre autorité de certification, placez-le dans un emplacement accessible depuis le VMware Cloud Gateway.
    4. S'il ne s'agit pas d'une autorité de certification connue, assurez-vous que les paramètres suivants pour l'autorité de certification racine sont définis comme suit : 
       X509v3 extensions:
            X509v3 Basic Constraints: critical
                CA:TRUE
            X509v3 Key Usage: critical
                Digital Signature, Key Encipherment, Certificate Sign, CRL Sign
      Note : Définissez le chiffrement de clé sur le certificat SSL de point de terminaison/machine.
    5. Obtenez les fichiers suivants de l'autorité de certification :
      • server.key : clé privée de VMware Cloud Gateway.
      • server.crt : certificat feuille signé par une autorité de certification VMware Cloud Gateway et tous les certificats d'autorité de certification intermédiaires (le cas échéant).
      • rootCA.pem : certificat d'autorité de certification racine dans la chaîne de certificats.
  3. Générez le fichier server.pem, qui est la chaîne de certificats complète incluant le fichier server.crt, toutes les autorités de certification intermédiaires (le cas échéant) et la clé privée (server.key) en entrant la commande suivante :
    cat server.crt server.key > server.pem
    Le fichier server.pem doit inclure les détails dans l'ordre suivant : 
    ---BEGIN CERTIFICATE---
<CERT>
---END CERTIFICATE---
---BEGIN PRIVATE KEY---
<KEY>
---END PRIVATE KEY---
  4. Sauvegardez les fichiers server.pem et rootCA.pem existants dans le répertoire /etc/applmgmt/appliance en entrant les commandes suivantes :
    cp -p /etc/applmgmt/appliance/server.pem /etc/applmgmt/appliance/server.pem.bak
    cp -p /etc/applmgmt/appliance/rootCA.pem /etc/applmgmt/appliance/rootCA.pem.bak
  5. Remplacez les fichiers server.pem et rootCA.pem par les nouveaux fichiers en entrant la commande suivante :
    cp -p server.pem rootCA.pem /etc/applmgmt/appliance/
  6. Redémarrez les services suivants dans le même ordre :
    systemctl restart gps_envoy.service
    systemctl restart aap_envoy.service
    systemctl restart rsyslog.service
  7. Redémarrez le service aca_watchdog pour redémarrer tous les agents VAP en cours d'exécution.
    systemctl restart aca_watchdog.service