依預設,VMware Cloud Gateway 使用在安裝期間產生的自我簽署憑證。當憑證到期或您要使用其他憑證提供者提供的憑證時,可以取代該憑證。

備註: 只能使用 CA 簽署憑證。

程序

  1. 使用 SSH 連線至 VMware Cloud Gateway
  2. 對於 CA 簽署憑證,透過執行以下步驟產生憑證:
    1. 在命令列中輸入以下命令,產生憑證簽署要求 (CSR):
      openssl req -new -newkey rsa:4096 -nodes -out server.csr -keyout server.key
    2. 根據其請求程序向 CA 提供 CSR。
    3. 從 CA 收到憑證後,請將其置於可從 VMware Cloud Gateway 存取的位置。
    4. 如果不是眾所周知的 CA,請確保根 CA 的以下參數設定如下: 
       X509v3 extensions:
            X509v3 Basic Constraints: critical
                CA:TRUE
            X509v3 Key Usage: critical
                Digital Signature, Key Encipherment, Certificate Sign, CRL Sign
      備註: 在端點/機器 SSL 憑證上設定金鑰編密。
    5. 從 CA 取得以下檔案:
      • server.keyVMware Cloud Gateway 私密金鑰。
      • server.crt:CA 簽署的 VMware Cloud Gateway 枝葉憑證和所有中繼 CA 憑證 (如有)。
      • rootCA.pem:憑證鏈結中的根 CA 憑證。
  3. 輸入以下命令產生 server.pem 檔案,該檔案是包括 server.crt、所有中繼 CA (如有) 和私密金鑰 (server.key) 的完整憑證鏈結:
    cat server.crt server.key > server.pem
    server.pem 必須按以下順序包含詳細資料: 
    ---BEGIN CERTIFICATE---
<CERT>
---END CERTIFICATE---
---BEGIN PRIVATE KEY---
<KEY>
---END PRIVATE KEY---
  4. 輸入以下命令,在 /etc/applmgmt/appliance 目錄中備份現有的 server.pemrootCA.pem
    cp -p /etc/applmgmt/appliance/server.pem /etc/applmgmt/appliance/server.pem.bak
    cp -p /etc/applmgmt/appliance/rootCA.pem /etc/applmgmt/appliance/rootCA.pem.bak
  5. 輸入以下命令,使用新檔案取代 server.pemrootCA.pem
    cp -p server.pem rootCA.pem /etc/applmgmt/appliance/
  6. 依以下順序重新啟動下列服務:
    systemctl restart gps_envoy.service
    systemctl restart aap_envoy.service
    systemctl restart rsyslog.service
  7. 重新啟動 aca_watchdog service 以重新啟動正在執行的所有 VAP 代理程式。
    systemctl restart aca_watchdog.service