Per impostazione predefinita, VMware Cloud Gateway utilizza il certificato autofirmato generato durante l'installazione. È possibile sostituire il certificato quando scade o quando si desidera utilizzare un certificato di un altro provider di certificati.

Nota: È possibile utilizzare solo questo tipo di certificato.

Procedura

  1. Connettersi a VMware Cloud Gateway utilizzando SSH.
  2. Per un certificato firmato dall'autorità di certificazione, generare il certificato eseguendo i passaggi seguenti:
    1. Generare una richiesta di firma del certificato (CSR) digitando il comando seguente nella riga di comando:
      openssl req -new -newkey rsa:4096 -nodes -out server.csr -keyout server.key
    2. Fornire la richiesta CSR all'autorità di certificazione in base alla relativa procedura di richiesta.
    3. Quando si riceve il certificato dall'autorità di certificazione, posizionarlo in un percorso a cui è possibile accedere da VMware Cloud Gateway.
    4. Se non è un'autorità di certificazione nota, assicurarsi che i seguenti parametri per l'autorità di certificazione root siano impostati come segue: 
       X509v3 extensions:
            X509v3 Basic Constraints: critical
                CA:TRUE
            X509v3 Key Usage: critical
                Digital Signature, Key Encipherment, Certificate Sign, CRL Sign
      Nota: Impostare la crittografia della chiave nel certificato SSL dell'endpoint o della macchina.
    5. Ottenere i file seguenti dall'autorità di certificazione:
      • server.key: chiave privata di VMware Cloud Gateway.
      • server.crt: certificato foglia di VMware Cloud Gateway firmato dall'autorità di certificazione e tutti i certificati CA intermedi (se presenti).
      • rootCA.pem: certificato CA root nella catena di certificati.
  3. Generare il file server.pem che rappresenta la catena di certificati completa che include server.crt, tutte le autorità di certificazione intermedie (se presenti) e la chiave privata (server.key) digitando il comando seguente:
    cat server.crt server.key > server.pem
    Il file server.pem deve includere i dettagli nell'ordine seguente: 
    ---BEGIN CERTIFICATE---
<CERT>
---END CERTIFICATE---
---BEGIN PRIVATE KEY---
<KEY>
---END PRIVATE KEY---
  4. Eseguire il backup dei file server.pem e rootCA.pem nella directory /etc/applmgmt/appliance digitando i comandi seguenti:
    cp -p /etc/applmgmt/appliance/server.pem /etc/applmgmt/appliance/server.pem.bak
    cp -p /etc/applmgmt/appliance/rootCA.pem /etc/applmgmt/appliance/rootCA.pem.bak
  5. Sostituire server.pem e rootCA.pem con i nuovi file digitando il comando seguente:
    cp -p server.pem rootCA.pem /etc/applmgmt/appliance/
  6. Riavviare i seguenti servizi nello stesso ordine:
    systemctl restart gps_envoy.service
    systemctl restart aap_envoy.service
    systemctl restart rsyslog.service
  7. Riavviare il servizio aca_watchdog per riavviare tutti gli agenti VAP in esecuzione.
    systemctl restart aca_watchdog.service