Per impostazione predefinita, il database PostgreSQL incorporato e l'interfaccia utente di gestione dell'appliance VMware Cloud Director condividono un set di certificati SSL autofirmati. Per maggiore sicurezza, è possibile sostituire i certificati autofirmati predefiniti con certificati firmati dall'autorità di certificazione (CA).

Quando si distribuisce l'appliance VMware Cloud Director, genera certificati autofirmati con un periodo di validità di 365 giorni. L'appliance VMware Cloud Director utilizza due set di certificati SSL. Il servizio VMware Cloud Director utilizza un set di certificati per le comunicazioni HTTPS e del proxy della console. Il database PostgreSQL incorporato e l'interfaccia utente di gestione dell'appliance VMware Cloud Director condividono l'altro set di certificati SSL.

Nota: Il processo di sostituzione del database e dei certificati dell'interfaccia utente di gestione dell'appliance non influisce sui certificati per le comunicazioni HTTPS e proxy della console. La sostituzione di uno dei set di certificati non significa che è necessario sostituire l'altro set.

Procedura

  1. Inviare la richiesta di firma del certificato che si trova in /opt/vmware/appliance/etc/ssl/vcd_ova.csr all'autorità di certificazione per la firma.
  2. Se si sta sostituendo il certificato per il database primario, attivare la modalità di manutenzione per tutti gli altri nodi per evitare la possibile perdita di dati.
  3. Sostituire il certificato in formato PEM esistente in /opt/vmware/appliance/etc/ssl/vcd_ova.crt con il certificato firmato, ottenuto dall'autorità di certificazione nel passaggio 1.
  4. Per ritirare il nuovo certificato, riavviare i servizi vpostgres, nginx e vcd_ova_ui. 
    systemctl restart nginx.service && systemctl restart vcd_ova_ui.service
    systemctl restart vpostgres.service
  5. Se si sta sostituendo il certificato per il database primario, disattivare la modalità di manutenzione per tutti gli altri nodi.
    Vedere Gestione di una cella.

risultati

Il nuovo certificato viene importato nell'archivio attendibilità di VMware Cloud Director in altre celle di VMware Cloud Director alla successiva esecuzione della funzionalità appliance-sync. L'operazione potrebbe richiedere fino a 60 secondi.