出於安全原因、憑證到期、裝置升級或變更或合規性需求,可能需要取代 VMware Cloud Director 應用裝置管理金鑰憑證配對。

程序

  1. root 身分直接登入或使用 SSH 登入 VMware Cloud Director 應用裝置的作業系統。
  2. 建立原始 vcd_ova.crt 的備份複本。
    cp /opt/vmware/appliance/etc/ssl/vcd_ova.crt /opt/vmware/appliance/etc/ssl/vcd_ova.crt.original
    cp /opt/vmware/appliance/etc/ssl/vcd_ova.key /opt/vmware/appliance/etc/ssl/vcd_ova.key.original
  3. 僅為內嵌式 PostgreSQL 資料庫和 VMware Cloud Director 應用裝置管理使用者介面產生自我簽署憑證。
    /opt/vmware/appliance/bin/generate-certificates.sh <root-password> --skip-vcd-certs
    此命令會針對內嵌式 PostgreSQL 資料庫和應用裝置管理使用者介面使用新產生的憑證。PostgreSQL 和 Nginx 伺服器將重新啟動。
  4. 如果使用的是 CA 簽署憑證,請取得 CA 簽署憑證,複製這些憑證並重新啟動服務。
    1. vcd_ova.csr 檔案中建立憑證簽署要求。
      openssl req -new -key /opt/vmware/appliance/etc/ssl/vcd_ova.key -reqexts SAN -config <(cat /etc/ssl/openssl.cnf <(printf "\n[SAN]\nsubjectAltName=DNS:vcd2.example.com,DNS:vcd2,IP:10.100.101.10\n")) -out vcd_ova.csr
    2. 傳送憑證簽署要求到您的憑證授權機構。
      如果必須指定 Web 伺服器類型,請使用 Jakarta 格式。
      取得 CA 簽署憑證。
    3. 複製 CA 簽署憑證。
      cp ca-signed-vcd_ova.pem /opt/vmware/appliance/etc/ssl/vcd_ova.crt
    4. 重新啟動 nginxpostgres 服務。
      systemctl restart nginx.service
      systemctl restart vpostgres.service