更新 VMware Cloud Director 應用裝置憑證

當您部署 VMware Cloud Director 應用裝置時，它會產生有效期為 365 天的自我簽署憑證。如果在您的環境中存在即將到期或已到期的憑證，您可以產生新的自我簽署憑證。您必須個別更新每個 VMware Cloud Director 儲存格的憑證。

VMware Cloud Director 應用裝置使用兩組 SSL 憑證。VMware Cloud Director 服務將一組憑證用於 HTTPS 和主控台 Proxy 通訊。內嵌式 PostgreSQL 資料庫和 VMware Cloud Director 應用裝置管理使用者介面共用另一組 SSL 憑證。

您可以變更這兩組自我簽署的憑證。或者，如果您將 CA 簽署的憑證用於 VMware Cloud Director 的 HTTPS 和主控台 Proxy 通訊，則只能變更內嵌式 PostgreSQL 資料庫和應用裝置管理使用者介面憑證。CA 簽署的憑證包含知名公共憑證授權機構頒發的完整信任鏈結。

必要條件

如果您要更新資料庫高可用性叢集中的主要節點的憑證，請將所有其他節點置於維護模式，以防止資料遺失。請參閱〈管理儲存格〉。
如果啟用了 FIPS 模式，則應用裝置的 root 密碼必須包含 14 個或更多字元。請參閱變更 VMware Cloud Director 應用裝置 root 密碼。

程序

以 root 身分直接登入或使用 SSH 登入 VMware Cloud Director 應用裝置的作業系統。

若要停止 VMware Cloud Director 服務，請執行下列命令。

/opt/vmware/vcloud-director/bin/cell-management-tool -u administrator cell --shutdown

為資料庫和應用裝置管理使用者介面產生新的自我簽署憑證，或為 HTTPS 和主控台 Proxy 通訊、資料庫和應用裝置管理使用者介面產生新的自我簽署憑證。
- 僅為內嵌式 PostgreSQL 資料庫和 VMware Cloud Director 應用裝置管理使用者介面產生自我簽署憑證，請執行：
```
/opt/vmware/appliance/bin/generate-certificates.sh <root-password> --skip-vcd-certs
```
  此命令會自動針對內嵌式 PostgreSQL 資料庫和應用裝置管理 UI 使用新產生的憑證。PostgreSQL 和 Nginx 伺服器將重新啟動。
- 除了為內嵌式 PostgreSQL 資料庫和應用裝置管理使用者介面產生憑證之外，還為 VMware Cloud Director 的 HTTPS 和主控台 Proxy 通訊產生新的自我簽署憑證。
  1. 執行下列命令：
```
/opt/vmware/appliance/bin/generate-certificates.sh <root-password>
```
  2. 如果您未使用 CA 簽署的憑證，請執行命令以將新產生的自我簽署憑證匯入 VMware Cloud Director中。
```
/opt/vmware/vcloud-director/bin/cell-management-tool certificates -j --cert /opt/vmware/vcloud-director/etc/user.http.pem --key /opt/vmware/vcloud-director/etc/user.http.key --key-password root_password
/opt/vmware/vcloud-director/bin/cell-management-tool certificates -p --cert /opt/vmware/vcloud-director/etc/user.consoleproxy.pem --key /opt/vmware/vcloud-director/etc/user.consoleproxy.key --key-password root_password
```
  3. 重新啟動 VMware Cloud Director 服務。
```
service vmware-vcd start
```
  這些命令會自動針對內嵌式 PostgreSQL 資料庫和應用裝置管理使用者介面使用新產生的憑證。PostgreSQL 和 Nginx 伺服器將重新啟動。命令會產生新的自我簽署 SSL 憑證 /opt/vmware/vcloud-director/etc/user.http.pem 和 /opt/vmware/vcloud-director/etc/user.consoleproxy.pem，並帶有私密金鑰 /opt/vmware/vcloud-director/etc/user.http.key 和 /opt/vmware/vcloud-director/etc/user.consoleproxy.key (在步驟 1 中使用)。

結果

更新的自我簽署憑證會顯示在 VMware Cloud Director 使用者介面中。

下次執行 appliance-sync 函數時，新的 PostgreSQL 憑證會匯入至其他 VMware Cloud Director 儲存格上的 VMware Cloud Director 信任存放區中。此作業可能最多需要 60 秒。

下一步

如有必要，自我簽署憑證可取代為由外部或內部憑證授權機構簽署的憑證。