出於安全原因、憑證到期、裝置升級或變更或合規性需求,可能需要取代 VMware Cloud Director 應用裝置管理金鑰憑證配對。
程序
- 以 root 身分直接登入或使用 SSH 登入 VMware Cloud Director 應用裝置的作業系統。
- 建立原始 vcd_ova.crt 的備份複本。
cp /opt/vmware/appliance/etc/ssl/vcd_ova.crt /opt/vmware/appliance/etc/ssl/vcd_ova.crt.original cp /opt/vmware/appliance/etc/ssl/vcd_ova.key /opt/vmware/appliance/etc/ssl/vcd_ova.key.original
- 僅為內嵌式 PostgreSQL 資料庫和 VMware Cloud Director 應用裝置管理使用者介面產生自我簽署憑證。
/opt/vmware/appliance/bin/generate-certificates.sh <root-password> --skip-vcd-certs
此命令會針對內嵌式 PostgreSQL 資料庫和應用裝置管理使用者介面使用新產生的憑證。PostgreSQL 和 Nginx 伺服器將重新啟動。 - 如果使用的是 CA 簽署憑證,請取得 CA 簽署憑證,複製這些憑證並重新啟動服務。
- 在 vcd_ova.csr 檔案中建立憑證簽署要求。
openssl req -new -key /opt/vmware/appliance/etc/ssl/vcd_ova.key -reqexts SAN -config <(cat /etc/ssl/openssl.cnf <(printf "\n[SAN]\nsubjectAltName=DNS:vcd2.example.com,DNS:vcd2,IP:10.100.101.10\n")) -out vcd_ova.csr
- 傳送憑證簽署要求到您的憑證授權機構。
如果必須指定 Web 伺服器類型,請使用 Jakarta 格式。取得 CA 簽署憑證。
- 複製 CA 簽署憑證。
cp ca-signed-vcd_ova.pem /opt/vmware/appliance/etc/ssl/vcd_ova.crt
- 重新啟動
nginx
和postgres
服務。systemctl restart nginx.service systemctl restart vpostgres.service
- 在 vcd_ova.csr 檔案中建立憑證簽署要求。