Quando si distribuisce l'appliance VMware Cloud Director, genera certificati autofirmati con un periodo di validità di 365 giorni. Se nell'ambiente sono presenti certificati in scadenza o scaduti, è possibile generare nuovi certificati autofirmati. È necessario rinnovare i certificati per ogni cella di VMware Cloud Director singolarmente. La procedura per la versione 10.4 include le impostazioni proxy della console.

Se si desidera rinnovare i certificati dell'appliance VMware Cloud Director per la versione 10.4.1 o successiva, vedere Rinnovo dei certificati dell'appliance VMware Cloud Director per la versione 10.4.1 e successive.

A partire da VMware Cloud Director 10.4, il servizio VMware Cloud Director utilizza un certificato per le comunicazioni HTTPS e del proxy della console. Il database PostgreSQL incorporato e l'interfaccia utente di gestione dell'appliance di VMware Cloud Director condividono un altro certificato SSL.

Nota: VMware Cloud Director 10.4.1 e versioni successive non supportano l'implementazione legacy della funzionalità proxy della console.

Per VMware Cloud Director 10.4, se si desidera utilizzare l'implementazione legacy con un punto di accesso proxy della console dedicato, è possibile abilitare la funzionalità LegacyConsoleProxy nel menu delle impostazioni Contrassegni funzionalità nella scheda Amministrazione del Service Provider Admin Portal. Per abilitare la funzionalità LegacyConsoleProxy, nell'installazione o nella distribuzione le impostazioni del proxy della console devono essere configurate in una versione precedente e trasferite tramite un aggiornamento di VMware Cloud Director. Dopo aver abilitato o disattivato la funzionalità, è necessario riavviare le celle. Se si abilita l'implementazione del proxy della console legacy, il proxy della console deve disporre di un certificato separato.

È possibile modificare tutti i certificati autofirmati. In alternativa, se si utilizza un certificato firmato da un'autorità di certificazione per le comunicazioni HTTPS e del proxy della console di VMware Cloud Director, è possibile modificare solo il database PostgreSQL incorporato e il certificato dell'interfaccia utente di gestione dell'appliance. I certificati firmati da un'autorità di certificazione includono una catena di attendibilità completa la cui root è un'autorità di certificazione pubblica nota.

Prerequisiti

Procedura

  1. Accedere direttamente o tramite SSH al sistema operativo dell'appliance VMware Cloud Director come root.
  2. Per arrestare i servizi VMware Cloud Director, eseguire il comando seguente.
    /opt/vmware/vcloud-director/bin/cell-management-tool -u administrator cell --shutdown
  3. Generare nuovi certificati autofirmati per l'interfaccia utente di gestione di database e appliance o per la comunicazione HTTPS e proxy della console, il database e l'interfaccia utente di gestione dell'appliance.
    • Per generare certificati autofirmati solo per il database PostgreSQL incorporato e l'interfaccia utente di gestione dell'appliance di VMware Cloud Director, eseguire:
      /opt/vmware/appliance/bin/generate-certificates.sh <root-password> --skip-vcd-certs

      Questo comando mette automaticamente in uso i certificati appena generati per il database PostgreSQL incorporato e l'interfaccia utente di gestione dell'appliance. PostgreSQL e i server Nginx vengono riavviati.

    • Generare nuovi certificati autofirmati per la comunicazione HTTPS e proxy della console di VMware Cloud Director, oltre ai certificati per il database PostgreSQL incorporato e l'interfaccia utente di gestione dell'appliance.
      1. Eseguire il comando seguente:
        /opt/vmware/appliance/bin/generate-certificates.sh <root-password>
      2. Se non si utilizzano certificati firmati da un'autorità di certificazione, eseguire i comandi per importare i certificati autofirmati appena generati in VMware Cloud Director.
        /opt/vmware/vcloud-director/bin/cell-management-tool certificates -j --cert /opt/vmware/vcloud-director/etc/user.http.pem --key /opt/vmware/vcloud-director/etc/user.http.key --key-password root_password
        /opt/vmware/vcloud-director/bin/cell-management-tool certificates -p --cert /opt/vmware/vcloud-director/etc/user.consoleproxy.pem --key /opt/vmware/vcloud-director/etc/user.consoleproxy.key --key-password root_password
      3. Riavviare il servizio VMware Cloud Director.
        service vmware-vcd start

      Questi comandi rendono automaticamente disponibili per l'utilizzo i certificati appena generati per il database PostgreSQL incorporato e l'interfaccia utente di gestione dell'appliance. PostgreSQL e i server Nginx vengono riavviati. I comandi generano i nuovi certificati SSL autofirmati /opt/vmware/vcloud-director/etc/user.http.pem e /opt/vmware/vcloud-director/etc/user.consoleproxy.pem, con le chiavi private /opt/vmware/vcloud-director/etc/user.http.key e /opt/vmware/vcloud-director/etc/user.consoleproxy.key, utilizzate nel passaggio 1.

risultati

I certificati autofirmati rinnovati sono visibili nell'interfaccia utente di VMware Cloud Director.

Il nuovo certificato PostgreSQL viene importato nell'archivio attendibilità di VMware Cloud Director in altre celle di VMware Cloud Director alla successiva esecuzione della funzionalità appliance-sync. L'operazione può richiedere fino a 60 secondi.

Operazioni successive

Se necessario, è possibile sostituire un certificato autofirmato con un certificato firmato da un'autorità di certificazione esterna o interna.