vSphere Bitfusion 4.5.2 起,可以透過使用 CLI 命令和 vSphere Bitfusion 外掛程式,更新 vSphere Bitfusion 伺服器和用戶端的憑證。

vSphere Bitfusion 伺服器的第一個虛擬機器加入 vSphere Bitfusion 叢集時,會產生憑證授權機構 (CA) 配對金鑰。憑證負責對所有用戶端到伺服器、伺服器到伺服器、伺服器到資料庫以及資料庫到資料庫的連線進行驗證。加入叢集的所有後續伺服器都會讀取憑證,並在主要伺服器上的 CA 中簽署其配對金鑰。為確保實現冗餘,例如,如果主要伺服器發生故障, vSphere Bitfusion 會將憑證授權機構資訊儲存在 Apache Cassandra 資料庫中。
備註:vSphere Bitfusion 4.5.2 起,憑證的預設有效期延長至 20 年。對於 vSphere Bitfusion 4.5.1 及更早版本,憑證將在一年後到期。
若要更新 vSphere Bitfusion 伺服器和用戶端上的憑證,請完成下列程序。

程序

  1. 建立伺服器憑證。
    1. 開啟終端機應用程式,然後執行 ssh customer@ip_address 命令,其中 ip_address 是主要 vSphere Bitfusion 伺服器的 IP 位址。
      您可以從 vSphere Bitfusion 外掛程式取得 vSphere Bitfusion 伺服器 IP 位址。
    2. 輸入您在部署主要 vSphere Bitfusion 伺服器期間指定的客戶密碼。
    3. 若要產生伺服器憑證,請執行 sudo bitfusion tls-certs gen 命令。
      ca.crt.xxxca.key.xxx 憑證檔案將在 /etc/bitfusion/tls/ 資料夾中產生,其中 xxx 是檔案名稱後置詞。例如, ca.key.20220408-202701ca.crt.20220408-202701
  2. 將憑證從主要 vSphere Bitfusion 伺服器複製到所有後續伺服器。
    1. 從主要 vSphere Bitfusion 伺服器執行以下命令,將憑證檔案複製到本機電腦,其中 ip_address_primary 是主要 vSphere Bitfusion 伺服器的 IP 位址,xxx 是檔案名稱後置詞。 
      scp customer@ip_address_primary:ca.crt.xxx .
scp customer@ip_address_primary:ca.key.xxx .
    2. 從本機電腦執行以下命令,將憑證檔案從本機電腦複製到後續 vSphere Bitfusion 伺服器,其中 ip_address_subsequent 是後續 vSphere Bitfusion 伺服器的 IP 位址,xxx 是檔案名稱後置詞。 
      scp ca.crt.xxx customer@ip_address_subsequent:~/
scp ca.key.xxx customer@ip_address_subsequent:~/
  3. 將憑證匯入到所有後續 vSphere Bitfusion 伺服器。
    1. 開啟終端機應用程式,然後執行 ssh customer@ip_address 命令,其中 ip_address 是後續 vSphere Bitfusion 伺服器的 IP 位址。
      您可以從 vSphere Bitfusion 外掛程式取得 vSphere Bitfusion 伺服器 IP 位址。
    2. 輸入您在部署後續 vSphere Bitfusion 伺服器期間指定的客戶密碼。
    3. 若要匯入憑證,請執行 sudo bitfusion tls-certs import --cakeypath ca.key.xxx --cacertpath ca.crt.xxx,其中 ca.key.xxxca.crt.xxx 是憑證檔案,xxx 是檔案名稱後置詞。
      例如,執行 sudo bitfusion tls-certs import --cakeypath ca.key.20220408-202701 --cacertpath ca.crt.20220408-202701
  4. 透過執行 sudo systemctl restart bitfusion 命令重新啟動 vSphere Bitfusion 服務。
    必須在叢集中的所有 vSphere Bitfusion 伺服器上重新啟動服務。
  5. 更新用戶端憑證。
    1. vSphere Client 中,選取功能表 (vSphere Client 功能表圖示) > Bitfusion
    2. 設定索引標籤上,展開更新用戶端憑證
    3. 選取更新憑證
  6. 如果已在裸機機器上安裝 vSphere Bitfusion 用戶端,請手動更新憑證。
    在以下命令中, ip_address_servervSphere Bitfusion 伺服器的 IP 位址, ip_address_clientvSphere Bitfusion 用戶端的 IP 位址, xxx 是檔案名稱後置詞。
    1. 從本機電腦,將 ca.crt.xxx 檔案從 vSphere Bitfusion 伺服器複製到用戶端。 
      scp customer@ip_address_server:ca.crt.xxx .
scp ca.crt.xxx customer@ip_address_client:~/
    2. 在用戶端電腦的終端機中,將 ca.crt.xxx 檔案移至 /etc/bitfusion/tls/ 資料夾。 
      ssh customer@ip_address_client "sudo chown bitfusion:bitfusion ca.crt.xxx; sudo chmod 640 ca.crt.xxx; sudo cp ca.crt.xxx /etc/bitfusion/tls/ca.crt"

結果

您已更新叢集中所有 vSphere Bitfusion 伺服器和用戶端的憑證。新憑證將在 20 年後到期。