Per impostazione predefinita, VMware Cloud Gateway utilizza il certificato autofirmato generato durante l'installazione. È possibile sostituire il certificato quando scade o quando si desidera utilizzare un certificato di un altro provider di certificati.
Nota: È possibile utilizzare solo questo tipo di certificato.
Procedura
- Connettersi a VMware Cloud Gateway utilizzando SSH.
- Per un certificato firmato dall'autorità di certificazione, generare il certificato eseguendo i passaggi seguenti:
- Generare una richiesta di firma del certificato (CSR) digitando il comando seguente nella riga di comando:
openssl req -new -newkey rsa:4096 -nodes -out server.csr -keyout server.key
- Fornire la richiesta CSR all'autorità di certificazione in base alla relativa procedura di richiesta.
- Quando si riceve il certificato dall'autorità di certificazione, posizionarlo in un percorso a cui è possibile accedere da VMware Cloud Gateway.
- Se non è un'autorità di certificazione nota, assicurarsi che i seguenti parametri per l'autorità di certificazione root siano impostati come segue:
X509v3 extensions: X509v3 Basic Constraints: critical CA:TRUE X509v3 Key Usage: critical Digital Signature, Key Encipherment, Certificate Sign, CRL Sign
Nota: Impostare la crittografia della chiave nel certificato SSL dell'endpoint o della macchina. - Ottenere i file seguenti dall'autorità di certificazione:
- server.key: chiave privata di VMware Cloud Gateway.
- server.crt: certificato foglia di VMware Cloud Gateway firmato dall'autorità di certificazione e tutti i certificati CA intermedi (se presenti).
- rootCA.pem: certificato CA root nella catena di certificati.
- Generare una richiesta di firma del certificato (CSR) digitando il comando seguente nella riga di comando:
- Generare il file server.pem che rappresenta la catena di certificati completa che include server.crt, tutte le autorità di certificazione intermedie (se presenti) e la chiave privata (server.key) digitando il comando seguente:
cat server.crt server.key > server.pemIl file server.pem deve includere i dettagli nell'ordine seguente:
---BEGIN CERTIFICATE--- <CERT> ---END CERTIFICATE--- ---BEGIN PRIVATE KEY--- <KEY> ---END PRIVATE KEY---
- Eseguire il backup dei file server.pem e rootCA.pem nella directory /etc/applmgmt/appliance digitando i comandi seguenti:
cp -p /etc/applmgmt/appliance/server.pem /etc/applmgmt/appliance/server.pem.bakcp -p /etc/applmgmt/appliance/rootCA.pem /etc/applmgmt/appliance/rootCA.pem.bak
- Sostituire server.pem e rootCA.pem con i nuovi file digitando il comando seguente:
cp -p server.pem rootCA.pem /etc/applmgmt/appliance/
- Riavviare i seguenti servizi nello stesso ordine:
systemctl restart gps_envoy.servicesystemctl restart aap_envoy.servicesystemctl restart rsyslog.service
- Riavviare il servizio aca_watchdog per riavviare tutti gli agenti VAP in esecuzione.
systemctl restart aca_watchdog.service