自己署名の組み込み PostgreSQL および VMware Cloud Director アプライアンスの管理ユーザーインターフェイス証明書の置き換え

デフォルトでは、組み込み PostgreSQL データベースおよび VMware Cloud Director アプライアンスの管理ユーザーインターフェイスは、一連の自己署名の SSL 証明書を共有します。セキュリティを強化するために、デフォルトの自己署名証明書を認証局 (CA) が署名した証明書に置き換えることができます。

VMware Cloud Director アプライアンスをデプロイすると、有効期間が 365 日の自己署名証明書が生成されます。VMware Cloud Director アプライアンスは 2 セットの SSL 証明書を使用します。VMware Cloud Director 10.4 以降では、コンソールプロキシトラフィック通信と HTTPS 通信の両方がデフォルトの 443 ポートを経由し、VMware Cloud Director サービスの HTTPS 通信（コンソールプロキシ通信を含む）には、1 つの証明書が使用されます。組み込み PostgreSQL データベースおよび VMware Cloud Director アプライアンスの管理ユーザーインターフェイスは、別の SSL 証明書セットを共有します。

注：データベースおよびアプライアンス管理ユーザーインターフェイスの証明書を置き換えるプロセスは、HTTPS およびコンソールプロキシ通信の証明書には影響しません。HTTPS 証明書を置き換えるときに、他の証明書を置き換える必要はありません。

手順

/opt/vmware/appliance/etc/ssl/vcd_ova.csr にある証明書署名リクエストを認証局 (CA) に送信して、署名するよう要求します。
プライマリデータベースの証明書を置き換える場合は、データの損失を招くことがないよう、他のすべてのノードをメンテナンスモードにします。
/opt/vmware/appliance/etc/ssl/vcd_ova.crt の既存の PEM 形式証明書を、手順 1 で CA から取得した署名付き証明書に置き換えます。
新しい証明書を取得するには、vpostgres、nginx、および vcd_ova_ui サービスを再起動します。
```
systemctl restart nginx.service && systemctl restart vcd_ova_ui.service
```
```
systemctl restart vpostgres.service
```
プライマリデータベースの証明書を置き換える場合は、他のすべてのノードでメンテナンスモードを解除します。
VMware Cloud Director セルの管理を参照してください。

結果

新しい証明書は、appliance-sync 機能が次回実行されるときに、他の VMware Cloud Director セル上の VMware Cloud Director トラストストアにインポートされます。この操作には、60 秒ほどかかる場合があります。