기본적으로 내장형 PostgreSQL 데이터베이스 및 VMware Cloud Director 장치 관리 사용자 인터페이스는 자체 서명된 SSL 인증서 집합을 공유합니다. 보안 강화를 위해 자체 서명된 기본 인증서를 CA(인증 기관) 서명 인증서로 교체할 수 있습니다.

VMware Cloud Director 장치를 배포하면 유효 기간이 365일인 자체 서명된 인증서가 생성됩니다. VMware Cloud Director 장치는 2개의 SSL 인증서 집합을 사용합니다. VMware Cloud Director 10.4부터는 콘솔 프록시 트래픽과 HTTPS 통신에 모두 기본 443 포트를 사용하며 VMware Cloud Director 서비스는 콘솔 프록시 통신을 포함하는 HTTPS 통신에 하나의 인증서를 사용합니다. 내장된 PostgreSQL 데이터베이스와 VMware Cloud Director 장치 관리 사용자 인터페이스는 다른 SSL 인증서 집합을 공유합니다.

참고: 데이터베이스 및 장치 관리 UI 인증서를 교체하는 프로세스는 HTTPS 및 콘솔 프록시 통신에 대한 인증서에 영향을 주지 않습니다. HTTPS 인증서를 교체한다고 해서 다른 인증서를 교체해야 하는 것은 아닙니다.

프로시저

  1. 서명을 위해 /opt/vmware/appliance/etc/ssl/vcd_ova.csr에 있는 인증서 서명 요청을 CA에 전송합니다.
  2. 기본 데이터베이스의 인증서를 교체하는 경우 데이터 손실 가능성을 막기 위해 다른 모든 노드를 유지 보수 모드로 전환합니다.
  3. /opt/vmware/appliance/etc/ssl/vcd_ova.crt에 있는 기존 PEM 형식 인증서를 1단계에서 CA로부터 확보한 서명된 인증서로 바꿉니다.
  4. 새 인증서를 선택하려면 vpostgres, nginx 및 vcd_ova_ui 서비스를 다시 시작합니다. 
    systemctl restart nginx.service && systemctl restart vcd_ova_ui.service
    systemctl restart vpostgres.service
  5. 기본 데이터베이스에 대한 인증서를 교체하는 경우 다른 모든 노드를 유지 보수 모드에서 해제합니다.
    VMware Cloud Director 셀 관리의 내용을 참조하십시오.

결과

다음에 appliance-sync 함수가 실행될 때 다른 VMware Cloud Director 셀의 VMware Cloud Director truststore로 새 인증서를 가져옵니다. 이 작업에는 최대 60초가 걸릴 수 있습니다.