VMware Cloud Director 장치를 배포하면 유효 기간이 365일인 자체 서명된 인증서가 생성됩니다. 환경에 만료될 예정이거나 만료된 인증서가 있는 경우 자체 서명 인증서를 새로 생성할 수 있습니다. 각 VMware Cloud Director 셀에 대한 인증서를 개별적으로 갱신해야 합니다.

VMware Cloud Director 10.4부터 VMware Cloud Director 서비스는 HTTPS 및 콘솔 프록시 통신에 하나의 인증서를 사용합니다. 내장형 PostgreSQL 데이터베이스와 VMware Cloud Director 장치 관리 사용자 인터페이스는 다른 SSL 인증서를 공유합니다.

참고: VMware Cloud Director 10.4.1 이상은 콘솔 프록시 기능의 레거시 구현을 지원하지 않습니다.

자체 서명된 모든 인증서를 변경할 수 있습니다. 또는 VMware Cloud Director의 HTTPS 통신에 CA 서명된 인증서를 사용하는 경우에는 내장형 PostgreSQL 데이터베이스 및 장치 관리 UI 인증서만 변경할 수 있습니다. CA 서명된 인증서에는 잘 알려진 공용 인증 기관에 근거한 완전 신뢰 체인이 포함됩니다.

사전 요구 사항

  • 이 절차가 환경 요구 사항에 적합한지 확인하려면 VMware Cloud Director 장치의 SSL 인증서 생성 및 관리 항목을 숙지하십시오.

  • 데이터베이스 고가용성 클러스터에서 기본 노드에 대한 인증서를 갱신하는 경우 데이터 손실을 방지하기 위해 셀 관리 도구의 opt/vmware/vcloud-director/bin/cell-management-tool cell -m 명령을 실행하여 다른 모든 노드를 유지 보수 모드로 지정합니다. VMware Cloud Director 셀 관리의 내용을 참조하십시오.
  • FIPS 모드를 사용하도록 설정한 경우 장치의 루트 암호는 14자 이상을 포함해야 합니다. VMware Cloud Director 장치의 루트 암호 변경의 내용을 참조하십시오.

프로시저

  1. VMware Cloud Director 장치의 OS에 root로 직접 로그인하거나 SSH를 통해 연결합니다.
  2. VMware Cloud Director 서비스를 중지하려면 다음 명령을 실행합니다. 
    /opt/vmware/vcloud-director/bin/cell-management-tool -u administrator cell --shutdown
  3. 데이터베이스 및 장치 관리 UI 또는 HTTPS 통신, 데이터베이스 및 장치 관리 UI에 대해 자체 서명된 인증서를 새로 생성합니다.
    • 내장형 PostgreSQL 데이터베이스 및 VMware Cloud Director 장치 관리 UI에 대해서만 자체 서명된 인증서를 생성합니다. 다음을 실행합니다.
      /opt/vmware/appliance/bin/generate-certificates.sh <root-password> --skip-vcd-certs

      이 명령은 내장된 PostgreSQL 데이터베이스 및 장치 관리 UI에 대해 새로 생성된 인증서를 자동으로 사용합니다. PostgreSQL 및 Nginx 서버가 다시 시작됩니다.

    • 내장형 PostgreSQL 데이터베이스 및 장치 관리 UI에 대한 인증서에 외에도 VMware Cloud Director의 HTTPS 통신을 위한 자체 서명된 인증서를 새로 생성합니다.
      1. 다음 명령을 실행합니다.
        /opt/vmware/appliance/bin/generate-certificates.sh <root-password>
      2. CA 서명된 인증서를 사용하지 않는 경우 명령을 실행하여 새로 생성한 자체 서명된 인증서를 VMware Cloud Director로 가져옵니다.
        /opt/vmware/vcloud-director/bin/cell-management-tool certificates -j --cert /opt/vmware/vcloud-director/etc/user.http.pem --key /opt/vmware/vcloud-director/etc/user.http.key --key-password root_password
      3. VMware Cloud Director 서비스를 다시 시작합니다. 
        service vmware-vcd start

      이 명령은 내장형 PostgreSQL 데이터베이스 및 장치 관리 UI에 대해 새로 생성된 인증서를 자동으로 사용합니다. PostgreSQL 및 Nginx 서버가 다시 시작됩니다. 이 명령은 1단계에서 사용되는 개인 키 /opt/vmware/vcloud-director/etc/user.http.key를 사용하여 자체 서명된 새 SSL 인증서 /opt/vmware/vcloud-director/etc/user.http.pem을 생성합니다.

결과

갱신된 자체 서명 인증서가 VMware Cloud Director 사용자 인터페이스에 표시됩니다.

다음 번에 appliance-sync 함수가 실행될 때 다른 VMware Cloud Director 셀의 VMware Cloud Director truststore로 새 PostgreSQL 인증서를 가져옵니다. 이 작업에는 최대 60초가 걸릴 수 있습니다.

다음에 수행할 작업

필요한 경우 자체 서명된 인증서를 외부 또는 내부 CA(인증 기관)에서 서명한 인증서로 교체할 수 있습니다.