Potrebbe essere necessario sostituire la coppia chiave-certificato della gestione dell'appliance di VMware Cloud Director per motivi di sicurezza, scadenza del certificato, aggiornamenti o modifiche all'appliance o requisiti di conformità.
Procedura
- Accedere direttamente o tramite SSH al sistema operativo dell'appliance VMware Cloud Director come root.
- Creare una copia di backup del file vcd_ova.crt originale.
cp /opt/vmware/appliance/etc/ssl/vcd_ova.crt /opt/vmware/appliance/etc/ssl/vcd_ova.crt.original cp /opt/vmware/appliance/etc/ssl/vcd_ova.key /opt/vmware/appliance/etc/ssl/vcd_ova.key.original
- Generare certificati autofirmati solo per il database PostgreSQL incorporato e l'interfaccia utente di gestione dell'appliance di VMware Cloud Director.
/opt/vmware/appliance/bin/generate-certificates.sh <root-password> --skip-vcd-certs
Il comando consente di utilizzare i certificati appena generati per il database PostgreSQL incorporato e l'interfaccia utente di gestione dell'appliance. PostgreSQL e i server Nginx vengono riavviati. - Se si utilizzano certificati firmati dall'autorità di certificazione, ottenere i certificati firmati dall'autorità di certificazione, copiarli e riavviare i servizi.
- Creare una richiesta di firma del certificato nel file vcd_ova.csr.
openssl req -new -key /opt/vmware/appliance/etc/ssl/vcd_ova.key -reqexts SAN -config <(cat /etc/ssl/openssl.cnf <(printf "\n[SAN]\nsubjectAltName=DNS:vcd2.example.com,DNS:vcd2,IP:10.100.101.10\n")) -out vcd_ova.csr
- Inviare la richiesta di firma del certificato all'autorità di certificazione.
Se è necessario specificare un tipo di server Web, utilizzare Jakarta Tomcat.Procurarsi il certificato firmato dall'autorità di certificazione.
- Copiare il certificato firmato dall'autorità di certificazione.
cp ca-signed-vcd_ova.pem /opt/vmware/appliance/etc/ssl/vcd_ova.crt
- Riavviare i servizi
nginx
epostgres
.systemctl restart nginx.service systemctl restart vpostgres.service
- Creare una richiesta di firma del certificato nel file vcd_ova.csr.