기본적으로 내장형 PostgreSQL 데이터베이스 및 VMware Cloud Director 장치 관리 사용자 인터페이스는 자체 서명된 SSL 인증서 집합을 공유합니다. 보안 강화를 위해 자체 서명된 기본 인증서를 CA(인증 기관) 서명 인증서로 교체할 수 있습니다.

VMware Cloud Director 장치를 배포하면 유효 기간이 365일인 자체 서명된 인증서가 생성됩니다. VMware Cloud Director 장치는 2개의 SSL 인증서 집합을 사용합니다. VMware Cloud Director 서비스는 HTTPS 및 콘솔 프록시 통신에 대해 하나의 인증서 집합을 사용합니다. 내장된 PostgreSQL 데이터베이스와 VMware Cloud Director 장치 관리 사용자 인터페이스는 다른 SSL 인증서 집합을 공유합니다.

참고: 데이터베이스 및 장치 관리 UI 인증서를 교체하는 프로세스는 HTTPS 및 콘솔 프록시 통신에 대한 인증서에 영향을 주지 않습니다. 인증서 집합 중 하나를 교체한다고 해서 다른 집합을 교체해야 하는 것은 아닙니다.

프로시저

  1. 서명을 위해 /opt/vmware/appliance/etc/ssl/vcd_ova.csr에 있는 인증서 서명 요청을 CA에 전송합니다.
  2. 기본 데이터베이스의 인증서를 교체하는 경우 데이터 손실 가능성을 막기 위해 다른 모든 노드를 유지 보수 모드로 전환합니다.
  3. /opt/vmware/appliance/etc/ssl/vcd_ova.crt에 있는 기존 PEM 형식 인증서를 1단계에서 CA로부터 확보한 서명된 인증서로 바꿉니다.
  4. 새 인증서를 선택하려면 vpostgres, nginx 및 vcd_ova_ui 서비스를 다시 시작합니다. 
    systemctl restart nginx.service && systemctl restart vcd_ova_ui.service
    systemctl restart vpostgres.service
  5. 기본 데이터베이스에 대한 인증서를 교체하는 경우 다른 모든 노드를 유지 보수 모드에서 해제합니다.
    셀 관리의 내용을 참조하십시오.

결과

다음에 appliance-sync 함수가 실행될 때 다른 VMware Cloud Director 셀의 VMware Cloud Director truststore로 새 인증서를 가져옵니다. 이 작업에는 최대 60초가 걸릴 수 있습니다.