依預設,內嵌式 PostgreSQL 資料庫和 VMware Cloud Director 應用裝置管理使用者介面共用一組自我簽署的 SSL 憑證。為提高安全性,您可以將預設的自我簽署憑證取代為憑證授權機構 (CA) 簽署的憑證。

當您部署 VMware Cloud Director 應用裝置時,它會產生有效期為 365 天的自我簽署憑證。VMware Cloud Director 應用裝置使用兩組 SSL 憑證。從 VMware Cloud Director 10.4 開始,主控台 Proxy 流量和 HTTPS 通訊均透過預設 443 連接埠進行,而 VMware Cloud Director 服務使用一個憑證進行 HTTPS 通訊 (包括主控台 Proxy 通訊)。內嵌式 PostgreSQL 資料庫和 VMware Cloud Director 應用裝置管理使用者介面共用另一組 SSL 憑證。

備註: 取代資料庫和應用裝置管理使用者介面憑證的程序不會影響用於 HTTPS 和主控台 Proxy 通訊的憑證。取代 HTTPS 憑證並不意味著必須取代其他憑證。

程序

  1. 將位於 /opt/vmware/appliance/etc/ssl/vcd_ova.csr 的憑證簽署要求傳送至 CA 以供簽署。
  2. 如果您要取代主要資料庫的憑證,請將所有其他節點置於維護模式,以避免資料遺失的可能性。
  3. /opt/vmware/appliance/etc/ssl/vcd_ova.crt 中的現有 PEM 格式憑證取代為在步驟 1 中從 CA 取得的簽署憑證。
  4. 若要取得新憑證,請重新啟動 vpostgres、nginx 和 vcd_ova_ui 服務。
    systemctl restart nginx.service && systemctl restart vcd_ova_ui.service
    systemctl restart vpostgres.service
  5. 如果您要取代主要資料庫的憑證,請將所有其他節點移出維護模式。

結果

下次執行 appliance-sync 函數時,新憑證會匯入至其他 VMware Cloud Director 儲存格上的 VMware Cloud Director 信任存放區中。此作業可能最多需要 60 秒。