取代自我簽署的內嵌式 PostgreSQL 和 VMware Cloud Director 應用裝置管理 UI 憑證

依預設，內嵌式 PostgreSQL 資料庫和 VMware Cloud Director 應用裝置管理使用者介面共用一組自我簽署的 SSL 憑證。為提高安全性，您可以將預設的自我簽署憑證取代為憑證授權機構 (CA) 簽署的憑證。

當您部署 VMware Cloud Director 應用裝置時，它會產生有效期為 365 天的自我簽署憑證。VMware Cloud Director 應用裝置使用兩組 SSL 憑證。VMware Cloud Director 服務將一組憑證用於 HTTPS 和主控台 Proxy 通訊。內嵌式 PostgreSQL 資料庫和 VMware Cloud Director 應用裝置管理使用者介面共用另一組 SSL 憑證。

備註：取代資料庫和應用裝置管理 UI 憑證的程序不會影響用於 HTTPS 和主控台 Proxy 通訊的憑證。取代其中一個憑證集並不意味著必須取代另一個憑證集。

程序

將位於 /opt/vmware/appliance/etc/ssl/vcd_ova.csr 的憑證簽署要求傳送至 CA 以供簽署。
如果您要取代主要資料庫的憑證，請將所有其他節點置於維護模式，以避免資料遺失的可能性。
將 /opt/vmware/appliance/etc/ssl/vcd_ova.crt 中的現有 PEM 格式憑證取代為在步驟 1 中從 CA 取得的簽署憑證。

若要取得新憑證，請重新啟動 vpostgres、nginx 和 vcd_ova_ui 服務。

systemctl restart nginx.service && systemctl restart vcd_ova_ui.service

systemctl restart vpostgres.service

如果您要取代主要資料庫的憑證，請將所有其他節點移出維護模式。
請參閱管理儲存格。

結果

下次執行 appliance-sync 函數時，新憑證會匯入至其他 VMware Cloud Director 儲存格上的 VMware Cloud Director 信任存放區中。此作業可能最多需要 60 秒。