Après le déploiement de vCloud Usage Meter, le dispositif génère un certificat SSL auto-signé. Lorsque vous accédez à l'interface Web de vCloud Usage Meter sur HTTPS pour la première fois, vous êtes invité à approuver manuellement le certificat auto-signé.

Vous pouvez sécuriser la connexion à vCloud Usage Meter en remplaçant le certificat auto-signé vCloud Usage Meter par un certificat signé par une autorité de certification (CA) externe ou interne.

Lors de l'exécution, toutes les applications vCloud Usage Meter utilisent le même keystore et le même magasin de certificats d'autorité de certification. Les certificats NGINX sont mis à jour au démarrage du système d'exploitation. Sauf indication contraire, vous pouvez exécuter des commandes sur la console vCloud Usage Meter en tant qu'utilisateur usagemeter.

Pour autoriser l'interaction à distance avec la console vCloud Usage Meter, vous pouvez activer SSH ou appeler les commandes dans une console Web vSphere.

Le dispositif vCloud Usage Meter stocke les certificats dans un magasin de clés Java à l'emplacement suivant : /opt/vmware/cloudusagemetering/platform/security/keystore.

Le magasin de clés de certificats d'autorité de certification se trouve à l'emplacement suivant : /opt/vmware/cloudusagemetering/platform/security/cacerts.

Importer une autorité de certification (CA) interne - Certificat signé

Si vous souhaitez remplacer le certificat vCloud Usage Meter par un certificat signé par une autorité de certification interne (CA), vous devez d'abord importer l'autorité de certification dans le dispositif vCloud Usage Meter.

Conditions préalables

  • Vérifiez que vous disposez d'un accès à la console vCloud Usage Meter en tant qu'utilisateur usagemeter.
  • Vérifiez que vous disposez d'un accès à la console vCloud Usage Meter en tant qu'utilisateur racine.

Procédure

  1. Connectez-vous à la console vCloud Usage Meter en tant qu'utilisateur usagemeter et arrêtez tous les services de dispositifs. 
    cd /opt/vmware/cloudusagemetering
    ./scripts/stop.sh All
  2. Exportez les variables d'environnement. 
    export $(grep -v '^#' "/opt/vmware/cloudusagemetering/platform/conf/env.properties" | xargs)
  3. Établissez une relation d'approbation entre le dispositif vCloud Usage Meter et le certificat signé par l'autorité de certification interne.
    Entrez un nom qui identifie le certificat dans le keystore sous la propriété alias dans la commande suivante. 
    keytool -import -trustcacerts -file filepath-to-the-certificate -alias custom-internal-certificate-authority -keystore /opt/vmware/cloudusagemetering/platform/security/cacerts -storetype BCFKS -providerclass org.bouncycastle.jcajce.provider.BouncyCastleFipsProvider -providerpath /opt/vmware/cloudusagemetering/platform/lib/bc-fips-1.0.2.1.jar -storepass "${TRUST_STORE_PASSWORD}"
  4. Connectez-vous en tant qu'utilisateur racine et redémarrez le dispositif vCloud Usage Meter. 
    reboot

Installer une autorité de certification (CA) - Certificat signé

Pour établir une connexion réseau sécurisée à l'interface Web de vCloud Usage Meter, vous pouvez installer un certificat SSL signé par une autorité de certification sur le dispositif vCloud Usage Meter.

Pour obtenir un certificat signé par une autorité de certification et une clé privée, vous devez générer une demande de signature de certificat. L'autorité de certification utilise la demande pour générer le certificat officiel.

Conditions préalables

  • Vérifiez que vous disposez d'un accès à la console vCloud Usage Meter en tant qu'utilisateur usagemeter.
  • Obtenez la clé privée et le certificat signé auprès de l'autorité de certification. Les deux fichiers doivent être au format PEM.
  • Si le certificat est signé par une autorité de certification interne, vous devez d'abord importer l'autorité de certification dans le dispositif vCloud Usage Meter. Pour plus d'informations, consultez Importer une autorité de certification (CA) interne - Certificat signé.

Procédure

  1. Connectez-vous à la console vCloud Usage Meter en tant qu'utilisateur usagemeter et arrêtez tous les services de dispositifs. 
    cd /opt/vmware/cloudusagemetering
    ./scripts/stop.sh All
  2. Exportez les variables d'environnement. 
    export $(grep -v '^#' "/opt/vmware/cloudusagemetering/platform/conf/env.properties" | xargs)
  3. Sauvegardez le certificat du dispositif vCloud Usage Meter existant.
    1. Sauvegardez le keystore existant. 
      mv /opt/vmware/cloudusagemetering/platform/security/keystore /opt/vmware/cloudusagemetering/platform/security/keystore.backup
    2. Déplacez l'entrée du keystore existant de l'alias spécifié vers un nouvel alias qui se trouve sous le paramètre destalias. 
      keytool -changealias -alias "usage-meter-platform" -destalias "usage-meter-platform-backup" -keystore /opt/vmware/cloudusagemetering/platform/security/cacerts -storetype BCFKS -providerclass org.bouncycastle.jcajce.provider.BouncyCastleFipsProvider -providerpath /opt/vmware/cloudusagemetering/platform/lib/bc-fips-1.0.2.1.jar -storepass "${TRUST_STORE_PASSWORD}"
  4. Importez le certificat signé par une autorité de certification et la clé privée dans le dispositif vCloud Usage Meter.
    1. Créez un répertoire temporaire et définissez le chemin d'accès au répertoire sur la variable d'environnement NGINX_FOLDER. 
      export NGINX_FOLDER=$(mktemp -d)
    2. Créez deux sous-répertoires temporaires dans le répertoire temporaire. 
      mkdir ${NGINX_FOLDER}/private
      mkdir ${NGINX_FOLDER}/certs
    3. Chargez le certificat signé par une autorité de certification dans le dossier ${NGINX_FOLDER}/certs/, puis renommez le fichier en nginx-selfsigned.crt.
    4. Chargez la clé privée signée par une autorité de certification dans le dossier ${NGINX_FOLDER}/private/, puis renommez le fichier en nginx-selfsigned.key.
  5. Créez un keystore pour le certificat signé par une autorité de certification. 
    ./platform/bin/create-keystore.sh
  6. (Facultatif) Supprimez tous les dossiers temporaires et de sauvegarde, puis supprimez l'ancien certificat vCloud Usage Meter. 
    rm -rf $NGINX_FOLDER
    rm /opt/vmware/cloudusagemetering/platform/security/keystore.backup
    keytool -delete -alias "usage-meter-platform-backup" -keystore /opt/vmware/cloudusagemetering/platform/security/cacerts -storetype BCFKS -providerclass org.bouncycastle.jcajce.provider.BouncyCastleFipsProvider -providerpath /opt/vmware/cloudusagemetering/platform/lib/bc-fips-1.0.2.1.jar -storepass "${TRUST_STORE_PASSWORD}"
  7. Configurez les autorisations pour le keystore. 
    chmod 0640 /opt/vmware/cloudusagemetering/platform/security/keystore
  8. Redémarrez le dispositif vCloud Usage Meter.
    Si l'installation du certificat SSL signé par une autorité de certification sur le dispositif vCloud Usage Meter réussit, aucun avertissement de sécurité ne s'affiche lors de votre prochaine connexion à l'interface Web de vCloud Usage Meter.

Remplacer le certificat SSL auto-signé du dispositif par défaut par un nouveau certificat auto-signé

Vous pouvez remplacer le certificat auto-signé par défaut du dispositif vCloud Usage Meter en générant et en installant un nouveau certificat auto-signé.

Conditions préalables

  • Vérifiez que vous disposez d'un accès à la console vCloud Usage Meter en tant qu'utilisateur usagemeter.
  • Vérifiez que vous disposez d'un accès à la console vCloud Usage Meter en tant qu'utilisateur racine.

Procédure

  1. Connectez-vous à la console vCloud Usage Meter en tant qu'utilisateur usagemeter et arrêtez tous les services de dispositifs. 
    cd /opt/vmware/cloudusagemetering
    ./scripts/stop.sh All
  2. Exportez les variables d'environnement. 
    export $(grep -v '^#' "/opt/vmware/cloudusagemetering/platform/conf/env.properties" | xargs)
  3. Sauvegardez le certificat du dispositif vCloud Usage Meter existant.
    1. Sauvegardez le keystore existant. 
      mv /opt/vmware/cloudusagemetering/platform/security/keystore /opt/vmware/cloudusagemetering/platform/security/keystore.backup
    2. Déplacez l'entrée du keystore existant de l'alias spécifié vers un nouvel alias qui se trouve sous le paramètre destalias. 
      keytool -changealias -alias "usage-meter-platform" -destalias "usage-meter-platform-backup" -keystore /opt/vmware/cloudusagemetering/platform/security/cacerts -storetype BCFKS -providerclass org.bouncycastle.jcajce.provider.BouncyCastleFipsProvider -providerpath /opt/vmware/cloudusagemetering/platform/lib/bc-fips-1.0.2.1.jar -storepass "${TRUST_STORE_PASSWORD}"
  4. Créez un répertoire temporaire et définissez le chemin d'accès au répertoire sur la variable d'environnement NGINX_FOLDER. 
    export NGINX_FOLDER=$(mktemp -d)
  5. Générez un nouveau certificat auto-signé. 
    ./platform/bin/create-keystore.sh
  6. (Facultatif) Supprimez tous les dossiers temporaires et de sauvegarde, puis supprimez l'ancien certificat vCloud Usage Meter. 
    rm -rf $NGINX_FOLDER
    rm /opt/vmware/cloudusagemetering/platform/security/keystore.backup
    keytool -delete -alias "usage-meter-platform-backup" -keystore /opt/vmware/cloudusagemetering/platform/security/cacerts -storetype BCFKS -providerclass org.bouncycastle.jcajce.provider.BouncyCastleFipsProvider -providerpath /opt/vmware/cloudusagemetering/platform/lib/bc-fips-1.0.2.1.jar -storepass "${TRUST_STORE_PASSWORD}"
  7. Configurez les autorisations pour le keystore. 
    chmod 0640 /opt/vmware/cloudusagemetering/platform/security/keystore
  8. Connectez-vous en tant qu'utilisateur racine et redémarrez le dispositif vCloud Usage Meter. 
    reboot

Importer un certificat dans le keystore du dispositif vCloud Usage Meter

Si l'instance que vous souhaitez ajouter pour effectuer des mesures utilise des entités de configuration réseau et de sécurité telles qu'un équilibrage de charge, un proxy ou un pare-feu, ou si vous utilisez un proxy sur HTTPS, vous devez importer ses certificats dans le keystore du dispositif vCloud Usage Meter.

Pour importer le certificat d'une entité de configuration réseau et de sécurité dans le keystore vCloud Usage Meter, vous devez obtenir le mot de passe du magasin d'approbations. Le mot de passe se trouve à l'emplacement suivant : /opt/vmware/cloudusagemetering/conf/local.conf.

Conditions préalables

  • Vérifiez que vous disposez d'un accès au dispositif vCloud Usage Meter en tant qu'utilisateur usagemeter.

  • Vérifiez que vous disposez d'un accès au dispositif vCloud Usage Meter en tant qu'utilisateur racine.

Procédure

  1. Connectez-vous au dispositif vCloud Usage Meter en tant qu'utilisateur usagemeter.
  2. Pour extraire le mot de passe du magasin d'approbations dans une variable d'environnement, exécutez la commande suivante. 
    export TRUSTOREPASS=$(grep "trustStorePassword" /opt/vmware/cloudusagemetering/conf/local.conf | cut -d' ' -f2-)
  3. Pour importer le certificat dans le keystore du dispositif vCloud Usage Meter, exécutez la commande suivante. 
    keytool -import -trustcacerts -alias certificate-alias -file certificate-file -keystore 
/opt/vmware/cloudusagemetering/resources/cacerts.bcfks -storetype bcfks -storepass "${TRUSTOREPASS}" -providername BCFIPS -providerclass 
org.bouncycastle.jcajce.provider.BouncyCastleFipsProvider -providerpath /opt/vmware/cloudusagemetering/jars/bc-fips-*.jar
  4. Connectez-vous en tant qu'utilisateur racine et redémarrez le dispositif vCloud Usage Meter. 
    reboot