Depuis vSphere Bitfusion 4.5.2, à l'aide des commandes de l'interface de ligne de commande et du plug-in vSphere Bitfusion, vous pouvez renouveler les certificats de vos serveurs et clients vSphere Bitfusion.

Une clé de paire d'autorité de certification (CA) est générée lorsque la première machine virtuelle d'un serveur vSphere Bitfusion rejoint un cluster vSphere Bitfusion. Le certificat est responsable de l'authentification de toutes les connexions du client au serveur, du serveur au serveur, du serveur à la base de données et de la base de données à la base de données. Tous les serveurs suivants qui rejoignent le cluster lisent le certificat et signent leurs clés de paire dans l'autorité de certification sur le serveur principal. Pour garantir la redondance, vSphere Bitfusion enregistre les informations de l'autorité de certification dans la base de données Apache Cassandra, par exemple, en cas d'échec du serveur principal.
Note : Depuis vSphere Bitfusion 4.5.2, la période d'expiration par défaut des certificats est étendue à 20 ans. Pour vSphere Bitfusion 4.5.1 et versions antérieures, les certificats expirent au bout d'un an.
Pour renouveler les certificats sur vos serveurs et clients vSphere Bitfusion, procédez comme suit.

Procédure

  1. Créez des certificats de serveur.
    1. Ouvrez une application de terminal et exécutez la commande ssh customer@ip_address, où ip_address est l'adresse IP de votre serveur vSphere Bitfusion principal.
      Vous pouvez obtenir l'adresse IP du serveur vSphere Bitfusion depuis le plug-in vSphere Bitfusion.
    2. Entrez le mot de passe du client que vous avez spécifié lors du déploiement du serveur vSphere Bitfusion principal.
    3. Pour vérifier les certificats de serveur, exécutez la commande sudo bitfusion tls-certs gen.
      Les fichiers de certificat ca.crt.xxx et ca.key.xxx sont générés dans le dossier /etc/bitfusion/tls/xxx est le suffixe du nom de fichier. Par exemple, ca.key.20220408-202701 et ca.crt.20220408-202701.
  2. Copiez les certificats de votre serveur vSphere Bitfusion principal sur tous les serveurs suivants.
    1. À partir du serveur vSphere Bitfusion principal, copiez les fichiers de certificat sur votre machine locale en exécutant la commande suivante, où ip_address_primary correspond aux adresses IP de votre serveur vSphere Bitfusion principal et xxx est le suffixe du nom de fichier. 
      scp customer@ip_address_primary:ca.crt.xxx .
scp customer@ip_address_primary:ca.key.xxx .
    2. À partir de votre machine locale, copiez les fichiers de certificat de votre machine locale vers un serveur vSphere Bitfusion suivant en exécutant la commande suivante, où ip_address_subsequent correspond aux adresses IP de votre serveur vSphere Bitfusion suivant et xxx est le suffixe de nom de fichier. 
      scp ca.crt.xxx customer@ip_address_subsequent:~/
scp ca.key.xxx customer@ip_address_subsequent:~/
  3. Importez le certificat sur tous les serveurs vSphere Bitfusion suivants.
    1. Ouvrez une application de terminal et exécutez la commande ssh customer@ip_address, où ip_address est l'adresse IP de votre serveur vSphere Bitfusion suivant.
      Vous pouvez obtenir l'adresse IP du serveur vSphere Bitfusion depuis le plug-in vSphere Bitfusion.
    2. Entrez le mot de passe du client que vous avez spécifié lors du déploiement du serveur vSphere Bitfusion suivant.
    3. Pour importer les certificats, exécutez sudo bitfusion tls-certs import --cakeypath ca.key.xxx --cacertpath ca.crt.xxx, où ca.key.xxx et ca.crt.xxx sont les fichiers des certificats, et xxx est le suffixe du nom de fichier.
      Par exemple, exécutez sudo bitfusion tls-certs import --cakeypath ca.key.20220408-202701 --cacertpath ca.crt.20220408-202701.
  4. Redémarrez les services vSphere Bitfusion en exécutant la commande sudo systemctl restart bitfusion.
    Vous devez redémarrer le service sur tous les serveurs vSphere Bitfusion de votre cluster.
  5. Renouvelez les certificats client.
    1. Dans vSphere Client, sélectionnez Menu (icône de menu de vSphere Client) > Bitfusion.
    2. Dans l'onglet Paramètres, développez Renouveler les certificats du client.
    3. Sélectionnez Renouveler les certificats.
  6. Si vous avez installé un client vSphere Bitfusion sur une machine bare metal, renouvelez les certificats manuellement.
    Dans les commandes suivantes, ip_address_server est l'adresse IP de votre serveur vSphere Bitfusion, ip_address_client est l'adresse IP de votre client vSphere Bitfusion et xxx est le suffixe du nom de fichier.
    1. À partir de votre machine locale, copiez le fichier ca.crt.xxx à partir d'un serveur vSphere Bitfusion sur le client. 
      scp customer@ip_address_server:ca.crt.xxx .
scp ca.crt.xxx customer@ip_address_client:~/
    2. Dans le terminal de la machine cliente, déplacez le fichier ca.crt.xxx vers le dossier /etc/bitfusion/tls/. 
      ssh customer@ip_address_client "sudo chown bitfusion:bitfusion ca.crt.xxx; sudo chmod 640 ca.crt.xxx; sudo cp ca.crt.xxx /etc/bitfusion/tls/ca.crt"

Résultats

Vous avez renouvelé les certificats pour tous les serveurs et clients vSphere Bitfusion de votre cluster. Les nouveaux certificats expirent dans 20 ans.