當您部署 VMware Cloud Director 應用裝置時,它會產生有效期為 365 天的自我簽署憑證。如果在您的環境中存在即將到期或已到期的憑證,您可以產生新的自我簽署憑證。您必須個別更新每個 VMware Cloud Director 儲存格的憑證。

VMware Cloud Director 10.4 開始,VMware Cloud Director 服務使用一個憑證進行 HTTPS 通訊和主控台 Proxy 通訊。內嵌式 PostgreSQL 資料庫和 VMware Cloud Director 應用裝置管理使用者介面共用另一個 SSL 憑證。

備註: VMware Cloud Director 10.4.1 及更新版本不支援主控台 Proxy 功能的舊版實作。

可以變更所有自我簽署憑證。或者,如果您將 CA 簽署的憑證用於 VMware Cloud Director 的 HTTPS 通訊,則只能變更內嵌式 PostgreSQL 資料庫和應用裝置管理使用者介面憑證。CA 簽署的憑證包含知名公共憑證授權機構頒發的完整信任鏈結。

必要條件

程序

  1. root 身分直接登入或使用 SSH 登入 VMware Cloud Director 應用裝置的作業系統。
  2. 若要停止 VMware Cloud Director 服務,請執行下列命令。 
    /opt/vmware/vcloud-director/bin/cell-management-tool -u administrator cell --shutdown
  3. 為資料庫和應用裝置管理使用者介面產生新的自我簽署憑證,或為 HTTPS 通訊、資料庫和應用裝置管理使用者介面產生新的自我簽署憑證。
    • 僅為內嵌式 PostgreSQL 資料庫和 VMware Cloud Director 應用裝置管理使用者介面產生自我簽署憑證,請執行:
      /opt/vmware/appliance/bin/generate-certificates.sh <root-password> --skip-vcd-certs

      此命令會自動針對內嵌式 PostgreSQL 資料庫和應用裝置管理 UI 使用新產生的憑證。PostgreSQL 和 Nginx 伺服器將重新啟動。

    • 除了為內嵌式 PostgreSQL 資料庫和應用裝置管理使用者介面產生憑證,還為 VMware Cloud Director 的 HTTPS 通訊產生新的自我簽署憑證。
      1. 執行下列命令:
        /opt/vmware/appliance/bin/generate-certificates.sh <root-password>
      2. 如果您未使用 CA 簽署的憑證,請執行命令以將新產生的自我簽署憑證匯入 VMware Cloud Director中。
        /opt/vmware/vcloud-director/bin/cell-management-tool certificates -j --cert /opt/vmware/vcloud-director/etc/user.http.pem --key /opt/vmware/vcloud-director/etc/user.http.key --key-password root_password
      3. 重新啟動 VMware Cloud Director 服務。 
        service vmware-vcd start

      這些命令會自動針對內嵌式 PostgreSQL 資料庫和應用裝置管理使用者介面使用新產生的憑證。PostgreSQL 和 Nginx 伺服器將重新啟動。這些命令將產生具有私密金鑰 /opt/vmware/vcloud-director/etc/user.http.key 的新自我簽署 SSL 憑證 /opt/vmware/vcloud-director/etc/user.http.pem,以在步驟 1 中使用。

結果

更新的自我簽署憑證會顯示在 VMware Cloud Director 使用者介面中。

下次執行 appliance-sync 函數時,新的 PostgreSQL 憑證會匯入至其他 VMware Cloud Director 儲存格上的 VMware Cloud Director 信任存放區中。此作業可能最多需要 60 秒。

下一步

如有必要,自我簽署憑證可取代為由外部或內部憑證授權機構簽署的憑證。