VMware Cloud Director 장치를 배포하면 유효 기간이 365일인 자체 서명된 인증서가 생성됩니다. 환경에 만료될 예정이거나 만료된 인증서가 있는 경우 자체 서명 인증서를 새로 생성할 수 있습니다. 각 VMware Cloud Director 셀에 대한 인증서를 개별적으로 갱신해야 합니다. 버전 10.4의 절차에는 콘솔 프록시 설정이 포함됩니다.

버전 10.4.1 이상에 대한 VMware Cloud Director 장치 인증서를 갱신하려면 버전 10.4.1 이상에 대한 VMware Cloud Director 장치 인증서 갱신 항목을 참조하십시오.

VMware Cloud Director 10.4부터 VMware Cloud Director 서비스는 HTTPS 및 콘솔 프록시 통신에 하나의 인증서를 사용합니다. 내장형 PostgreSQL 데이터베이스와 VMware Cloud Director 장치 관리 사용자 인터페이스는 다른 SSL 인증서를 공유합니다.

참고: VMware Cloud Director 10.4.1 이상은 콘솔 프록시 기능의 레거시 구현을 지원하지 않습니다.

VMware Cloud Director 10.4의 경우 전용 콘솔 프록시 Access Point에 레거시 구현을 사용하려는 경우 Service Provider Admin Portal관리 탭에 있는 [기능 플래그] 설정 메뉴에서 LegacyConsoleProxy 기능을 사용하도록 설정할 수 있습니다. LegacyConsoleProxy 기능을 사용하도록 설정하려면 설치 또는 배포에 이전 버전에서 구성되고 VMware Cloud Director 업그레이드를 통해 전송된 콘솔 프록시 설정이 있어야 합니다. 기능을 사용하도록 설정하거나 비활성화한 후에는 셀을 다시 시작해야 합니다. 레거시 콘솔 프록시 구현을 사용하도록 설정하는 경우 콘솔 프록시에 별도의 인증서가 있어야 합니다.

자체 서명된 모든 인증서를 변경할 수 있습니다. 또는 VMware Cloud Director의 HTTPS 및 콘솔 프록시 통신에 CA 서명된 인증서를 사용하는 경우에는 내장형 PostgreSQL 데이터베이스 및 장치 관리 UI 인증서만 변경할 수 있습니다. CA 서명된 인증서에는 잘 알려진 공용 인증 기관에 근거한 완전 신뢰 체인이 포함됩니다.

사전 요구 사항

  • 이 절차가 환경 요구 사항에 적합한지 확인하려면 VMware Cloud Director 장치의 SSL 인증서 생성 및 관리 항목을 숙지하십시오.

  • 데이터베이스 고가용성 클러스터에서 기본 노드에 대한 인증서를 갱신하는 경우 데이터 손실을 방지하기 위해 셀 관리 도구의 opt/vmware/vcloud-director/bin/cell-management-tool cell -m 명령을 실행하여 다른 모든 노드를 유지 보수 모드로 지정합니다. 셀 관리의 내용을 참조하십시오.
  • FIPS 모드를 사용하도록 설정한 경우 장치의 루트 암호는 14자 이상을 포함해야 합니다. VMware Cloud Director 장치 10.4.1 이상의 루트 암호 변경의 내용을 참조하십시오.

프로시저

  1. VMware Cloud Director 장치의 OS에 root로 직접 로그인하거나 SSH를 통해 연결합니다.
  2. VMware Cloud Director 서비스를 중지하려면 다음 명령을 실행합니다. 
    /opt/vmware/vcloud-director/bin/cell-management-tool -u administrator cell --shutdown
  3. 데이터베이스 및 장치 관리 UI 또는 HTTPS 및 콘솔 프록시 통신, 데이터베이스 및 장치 관리 UI에 대해 자체 서명된 인증서를 새로 생성합니다.
    • 내장형 PostgreSQL 데이터베이스 및 VMware Cloud Director 장치 관리 UI에 대해서만 자체 서명된 인증서를 생성합니다. 다음을 실행합니다.
      /opt/vmware/appliance/bin/generate-certificates.sh <root-password> --skip-vcd-certs

      이 명령은 내장된 PostgreSQL 데이터베이스 및 장치 관리 UI에 대해 새로 생성된 인증서를 자동으로 사용합니다. PostgreSQL 및 Nginx 서버가 다시 시작됩니다.

    • 내장형 PostgreSQL 데이터베이스 및 장치 관리 UI에 대한 인증서에 더하여 VMware Cloud Director의 HTTPS 및 콘솔 프록시 통신을 위한 자체 서명된 인증서를 생성합니다.
      1. 다음 명령을 실행합니다.
        /opt/vmware/appliance/bin/generate-certificates.sh <root-password>
      2. CA 서명된 인증서를 사용하지 않는 경우 명령을 실행하여 새로 생성한 자체 서명된 인증서를 VMware Cloud Director로 가져옵니다.
        /opt/vmware/vcloud-director/bin/cell-management-tool certificates -j --cert /opt/vmware/vcloud-director/etc/user.http.pem --key /opt/vmware/vcloud-director/etc/user.http.key --key-password root_password
/opt/vmware/vcloud-director/bin/cell-management-tool certificates -p --cert /opt/vmware/vcloud-director/etc/user.consoleproxy.pem --key /opt/vmware/vcloud-director/etc/user.consoleproxy.key --key-password root_password
      3. VMware Cloud Director 서비스를 다시 시작합니다. 
        service vmware-vcd start

      이 명령은 내장형 PostgreSQL 데이터베이스 및 장치 관리 UI에 대해 새로 생성된 인증서를 자동으로 사용합니다. PostgreSQL 및 Nginx 서버가 다시 시작됩니다. 이 명령은 1단계에서 사용된 개인 키 /opt/vmware/vcloud-director/etc/user.http.key/opt/vmware/vcloud-director/etc/user.consoleproxy.key를 사용하여 자체 서명된 새 SSL 인증서 /opt/vmware/vcloud-director/etc/user.http.pem/opt/vmware/vcloud-director/etc/user.consoleproxy.pem을 생성합니다.

결과

갱신된 자체 서명 인증서가 VMware Cloud Director 사용자 인터페이스에 표시됩니다.

다음 번에 appliance-sync 함수가 실행될 때 다른 VMware Cloud Director 셀의 VMware Cloud Director truststore로 새 PostgreSQL 인증서를 가져옵니다. 이 작업에는 최대 60초가 걸릴 수 있습니다.

다음에 수행할 작업

필요한 경우 자체 서명된 인증서를 외부 또는 내부 CA(인증 기관)에서 서명한 인증서로 교체할 수 있습니다.