Sostituzione del certificato per vCenter Cloud Gateway

È possibile sostituire il certificato per vCenter Cloud Gateway in caso di scadenza o quando si desidera utilizzare un certificato di un altro provider di certificati.

Importante: Se è stata configurata la modalità collegata ibrida in vCenter Cloud Gateway, non utilizzare questa procedura per sostituire il certificato. Utilizzare invece la procedura in Sostituzione del certificato per l'appliance Cloud Gateway con la modalità collegata ibrida abilitata.

Procedura

Connettersi a vCenter Cloud Gateway utilizzando SSH.

Se si utilizza vSphere+, scegliere se utilizzare un certificato autofirmato o firmato da un'autorità di certificazione (CA).

Opzione	Descrizione
Generare un certificato autofirmato	Alla riga di comando, digitare `openssl req -x509 -newkey rsa:4096 -keyout server.pem -out cert.pem -days 365 -nodes` per generare il certificato.
Utilizzare un certificato firmato da un'autorità di certificazione	Generare una richiesta di firma del certificato (CSR) digitando `openssl req -new -newkey rsa:2048 -nodes -out server.csr -keyout server.pem` nella riga di comando. Inviare la richiesta CSR all'autorità di certificazione attenendosi alla relativa procedura di richiesta. Quando si riceve il certificato dall'autorità di certificazione, posizionarlo in una posizione a cui è possibile accedere da vCenter Cloud Gateway.

Opzione

Descrizione

Generare un certificato autofirmato

Alla riga di comando, digitare openssl req -x509 -newkey rsa:4096 -keyout server.pem -out cert.pem -days 365 -nodes per generare il certificato.

Utilizzare un certificato firmato da un'autorità di certificazione

Generare una richiesta di firma del certificato (CSR) digitando openssl req -new -newkey rsa:2048 -nodes -out server.csr -keyout server.pem nella riga di comando.
Inviare la richiesta CSR all'autorità di certificazione attenendosi alla relativa procedura di richiesta.
Quando si riceve il certificato dall'autorità di certificazione, posizionarlo in una posizione a cui è possibile accedere da vCenter Cloud Gateway.

Se si utilizza vSphere+, utilizzare un certificato firmato da un'autorità di certificazione. Se non è un'autorità di certificazione nota, assicurarsi che i seguenti parametri per l'autorità di certificazione root siano impostati come segue:
```
 X509v3 extensions:
            X509v3 Basic Constraints: critical
                CA:TRUE
            X509v3 Key Usage: critical
                Digital Signature, Key Encipherment, Certificate Sign, CRL Sign
```
Utilizzare un certificato firmato da un'autorità di certificazione. Se non è un'autorità di certificazione nota, assicurarsi che i seguenti parametri per l'autorità di certificazione root siano impostati come segue:
```
 X509v3 extensions:
            X509v3 Basic Constraints: critical
                CA:TRUE
            X509v3 Key Usage: critical
                Digital Signature, Key Encipherment, Certificate Sign, CRL Sign
```
Accodare il file cert.pem generato o ricevuto dall'autorità di certificazione al file server.pem digitando cat cert.pem >> server.pem.
Eseguire il backup del vecchio certificato digitando cp /etc/applmgmt/appliance/server.pem /etc/applmgmt/appliance/server.pem.bk.
Sostituire il vecchio certificato con il file server.pem creato nel passaggio 5 digitando mv server.pem /etc/applmgmt/appliance/.
Digitare systemctl restart gps_envoy.service per riavviare il servizio di invio.
Se la registrazione di Cloud Foundation è abilitata, digitare systemctl restart aap_envoy.service per riavviare il servizio di invio Atlas Agent Platform.