Per impostazione predefinita, il database PostgreSQL incorporato e l'interfaccia utente di gestione dell'appliance VMware Cloud Director condividono un set di certificati SSL autofirmati. Per maggiore sicurezza, è possibile sostituire i certificati autofirmati predefiniti con certificati firmati dall'autorità di certificazione (CA).

Quando si distribuisce l'appliance VMware Cloud Director, genera certificati autofirmati con un periodo di validità di 365 giorni. L'appliance VMware Cloud Director utilizza due set di certificati SSL. A partire da VMware Cloud Director 10.4, sia il traffico del proxy della console sia le comunicazioni HTTPS passano attraverso la porta 443 predefinita e il servizio VMware Cloud Director utilizza un certificato per le comunicazioni HTTPS che include le comunicazioni proxy della console. Il database PostgreSQL incorporato e l'interfaccia utente di gestione dell'appliance VMware Cloud Director condividono l'altro set di certificati SSL.

Nota: Il processo di sostituzione del database e dei certificati dell'interfaccia utente di gestione dell'appliance non influisce sul certificato per le comunicazioni HTTPS e proxy della console. Sostituire il certificato HTTPS non implica la sostituzione degli altri.

Procedura

  1. Inviare la richiesta di firma del certificato che si trova in /opt/vmware/appliance/etc/ssl/vcd_ova.csr all'autorità di certificazione per la firma.
  2. Se si sta sostituendo il certificato per il database primario, attivare la modalità di manutenzione per tutti gli altri nodi per evitare la possibile perdita di dati.
  3. Sostituire il certificato in formato PEM esistente in /opt/vmware/appliance/etc/ssl/vcd_ova.crt con il certificato firmato, ottenuto dall'autorità di certificazione nel passaggio 1.
  4. Per ritirare il nuovo certificato, riavviare i servizi vpostgres, nginx e vcd_ova_ui.
    systemctl restart nginx.service && systemctl restart vcd_ova_ui.service
    systemctl restart vpostgres.service
  5. Se si sta sostituendo il certificato per il database primario, disattivare la modalità di manutenzione per tutti gli altri nodi.

risultati

Il nuovo certificato viene importato nell'archivio attendibilità di VMware Cloud Director in altre celle di VMware Cloud Director alla successiva esecuzione della funzionalità appliance-sync. L'operazione potrebbe richiedere fino a 60 secondi.