更新版本 10.4 的 VMware Cloud Director 應用裝置憑證

當您部署 VMware Cloud Director 應用裝置時，它會產生有效期為 365 天的自我簽署憑證。如果在您的環境中存在即將到期或已到期的憑證，您可以產生新的自我簽署憑證。您必須個別更新每個 VMware Cloud Director 儲存格的憑證。對於版本 10.4，此程序包括主控台 Proxy 設定。

如果要更新版本 10.4.1 或更新版本的 VMware Cloud Director 應用裝置憑證，請參閱更新版本 10.4.1 及更新版本的 VMware Cloud Director 應用裝置憑證。

從 VMware Cloud Director 10.4 開始，VMware Cloud Director 服務使用一個憑證進行 HTTPS 通訊和主控台 Proxy 通訊。內嵌式 PostgreSQL 資料庫和 VMware Cloud Director 應用裝置管理使用者介面共用另一個 SSL 憑證。

備註： VMware Cloud Director 10.4.1 及更新版本不支援主控台 Proxy 功能的舊版實作。

對於 VMware Cloud Director 10.4，如果要使用專用主控台 Proxy 存取點的舊版實作，可以從 Service Provider Admin Portal的管理索引標籤下的 [功能旗標] 設定功能表中啟用 LegacyConsoleProxy 功能。若要啟用 LegacyConsoleProxy 功能，您的安裝或部署必須具有在先前版本中設定並透過 VMware Cloud Director 升級傳輸的主控台 Proxy 設定。啟用或停用該功能後，必須重新啟動儲存格。如果啟用舊版主控台 Proxy 實作，則主控台 Proxy 必須具有單獨的憑證。

可以變更所有自我簽署憑證。或者，如果您將 CA 簽署的憑證用於 VMware Cloud Director 的 HTTPS 和主控台 Proxy 通訊，則只能變更內嵌式 PostgreSQL 資料庫和應用裝置管理使用者介面憑證。CA 簽署的憑證包含知名公共憑證授權機構頒發的完整信任鏈結。

必要條件

若要驗證這是否是滿足您環境需求的相關程序，請自行熟悉建立和管理 VMware Cloud Director 應用裝置的 SSL 憑證。
如果您要更新資料庫高可用性叢集中的主要節點的憑證，請執行儲存格管理工具的 opt/vmware/vcloud-director/bin/cell-management-tool cell -m 命令，將所有其他節點置於維護模式以防止資料遺失。請參閱管理儲存格。
如果啟用了 FIPS 模式，則應用裝置的 root 密碼必須包含 14 個或更多字元。請參閱變更 VMware Cloud Director 應用裝置 10.4.1 或更新版本的 Root 密碼。

程序

以 root 身分直接登入或使用 SSH 登入 VMware Cloud Director 應用裝置的作業系統。

若要停止 VMware Cloud Director 服務，請執行下列命令。

/opt/vmware/vcloud-director/bin/cell-management-tool -u administrator cell --shutdown

為資料庫和應用裝置管理使用者介面產生新的自我簽署憑證，或為 HTTPS 和主控台 Proxy 通訊、資料庫和應用裝置管理使用者介面產生新的自我簽署憑證。
- 僅為內嵌式 PostgreSQL 資料庫和 VMware Cloud Director 應用裝置管理使用者介面產生自我簽署憑證，請執行：
```
/opt/vmware/appliance/bin/generate-certificates.sh <root-password> --skip-vcd-certs
```
  此命令會自動針對內嵌式 PostgreSQL 資料庫和應用裝置管理 UI 使用新產生的憑證。PostgreSQL 和 Nginx 伺服器將重新啟動。
- 除了為內嵌式 PostgreSQL 資料庫和應用裝置管理使用者介面產生憑證之外，還為 VMware Cloud Director 的 HTTPS 和主控台 Proxy 通訊產生新的自我簽署憑證。
  1. 執行下列命令：
```
/opt/vmware/appliance/bin/generate-certificates.sh <root-password>
```
  2. 如果您未使用 CA 簽署的憑證，請執行命令以將新產生的自我簽署憑證匯入 VMware Cloud Director中。
```
/opt/vmware/vcloud-director/bin/cell-management-tool certificates -j --cert /opt/vmware/vcloud-director/etc/user.http.pem --key /opt/vmware/vcloud-director/etc/user.http.key --key-password root_password
/opt/vmware/vcloud-director/bin/cell-management-tool certificates -p --cert /opt/vmware/vcloud-director/etc/user.consoleproxy.pem --key /opt/vmware/vcloud-director/etc/user.consoleproxy.key --key-password root_password
```
  3. 重新啟動 VMware Cloud Director 服務。
```
service vmware-vcd start
```
  這些命令會自動針對內嵌式 PostgreSQL 資料庫和應用裝置管理使用者介面使用新產生的憑證。PostgreSQL 和 Nginx 伺服器將重新啟動。命令會產生新的自我簽署 SSL 憑證 /opt/vmware/vcloud-director/etc/user.http.pem 和 /opt/vmware/vcloud-director/etc/user.consoleproxy.pem，並帶有私密金鑰 /opt/vmware/vcloud-director/etc/user.http.key 和 /opt/vmware/vcloud-director/etc/user.consoleproxy.key (在步驟 1 中使用)。

結果

更新的自我簽署憑證會顯示在 VMware Cloud Director 使用者介面中。

下次執行 appliance-sync 函數時，新的 PostgreSQL 憑證會匯入至其他 VMware Cloud Director 儲存格上的 VMware Cloud Director 信任存放區中。此作業可能最多需要 60 秒。

下一步

如有必要，自我簽署憑證可取代為由外部或內部憑證授權機構簽署的憑證。