部署 vCloud Usage Meter 後,應用裝置會產生自我簽署的 SSL 憑證。首次透過 HTTPS 存取 vCloud Usage Meter Web 介面時,系統會提示您手動信任自我簽署的憑證。

透過將 vCloud Usage Meter 自我簽署憑證取代為外部或內部憑證授權機構 (CA) 簽署憑證,可以保護與 vCloud Usage Meter 的連線。

執行時,所有 vCloud Usage Meter 應用程式都使用相同的金鑰儲存區和 CA 憑證存放區。NGINX 憑證會在作業系統啟動時更新。除非明確說明,否則可以在 vCloud Usage Meter 主控台上以 usagemeter 身分執行命令。

若要允許與 vCloud Usage Meter 主控台進行遠端互動,您可以在 vSphere Web 主控台中啟用 SSH 或叫用命令。

vCloud Usage Meter 應用裝置將憑證儲存在 Java 金鑰儲存區中,該金鑰儲存區位於 /opt/vmware/cloudusagemetering/platform/security/keystore 中。

CA 憑證金鑰儲存區位於 /opt/vmware/cloudusagemetering/platform/security/cacerts 中。

為已啟用 FIPS 模式的 vCloud Usage Meter 應用裝置匯入內部憑證授權機構 (CA) 簽署憑證

如果要將 vCloud Usage Meter 憑證取代為內部憑證授權機構 (CA) 簽署的憑證,則必須先將該 CA 匯入已啟用 FIPS 模式的 vCloud Usage Meter 應用裝置中。

必要條件

  • 確認您能夠以 usagemeter 身分存取 vCloud Usage Meter 主控台。
  • 透過導覽至設定 > 安全性,確認已為 vCloud Usage Meter 應用裝置啟用 FIPS。

程序

  1. usagemeter 身分登入 vCloud Usage Meter 主控台,然後停止所有應用裝置服務。
    cd /opt/vmware/cloudusagemetering
    ./scripts/stop.sh All
    sudo systemctl stop vmware-um-journal.service
    sudo systemctl stop vmware-um-login.service
    sudo systemctl stop vmware-um-schedule.service
  2. 匯出環境變數。
    export $(grep -v '^#' "/opt/vmware/cloudusagemetering/platform/conf/env.properties" | xargs)
  3. 在已啟用 FIPS 模式的 vCloud Usage Meter 應用裝置與內部憑證授權機構簽署的憑證之間建立信任關係。
    在以下命令的 alias 內容下輸入用於在金鑰儲存區中識別憑證的名稱。
    備註: 如果 vCloud Usage Meter 應用裝置已停用 FIPS 模式,請參閱 為已停用 FIPS 模式的 vCloud Usage Meter 應用裝置匯入內部憑證授權機構 (CA) 簽署憑證
    keytool -import -trustcacerts -file filepath-to-the-certificate -alias custom-internal-certificate-authority -keystore /opt/vmware/cloudusagemetering/platform/security/cacerts -storetype BCFKS -providerclass org.bouncycastle.jcajce.provider.BouncyCastleFipsProvider -providerpath /opt/vmware/cloudusagemetering/platform/lib/bc-fips-1.0.2.1.jar -storepass "${TRUST_STORE_PASSWORD}"
  4. 將已啟用 FIPS 模式的 vCloud Usage Meter 應用裝置重新開機。
    sudo reboot

為已停用 FIPS 模式的 vCloud Usage Meter 應用裝置匯入內部憑證授權機構 (CA) 簽署憑證

如果要將已停用 FIPS 模式的 vCloud Usage Meter 應用裝置的憑證取代為內部憑證授權機構 (CA) 簽署的憑證,則必須先將該 CA 匯入應用裝置中。

必要條件

  • 確認您能夠以 usagemeter 身分存取 vCloud Usage Meter 主控台。
  • 透過導覽至設定 > 安全性,確認已為 vCloud Usage Meter 應用裝置停用 FIPS。

程序

  1. usagemeter 身分登入 vCloud Usage Meter 主控台,然後停止所有應用裝置服務。
    cd /opt/vmware/cloudusagemetering
    ./scripts/stop.sh All
    sudo systemctl stop vmware-um-journal.service
    sudo systemctl stop vmware-um-login.service
    sudo systemctl stop vmware-um-schedule.service
  2. 匯出環境變數。
    export $(grep -v '^#' "/opt/vmware/cloudusagemetering/platform/conf/env.properties" | xargs)
  3. 在已停用 FIPS 模式的 vCloud Usage Meter 應用裝置與內部憑證授權機構簽署的憑證之間建立信任關係。
    在以下命令的 alias 內容下輸入用於在金鑰儲存區中識別憑證的名稱。
    keytool -import -trustcacerts -file filepath-to-the-certificate -alias custom-internal-certificate-authority -keystore /opt/vmware/cloudusagemetering/platform/security/cacerts -storepass "${TRUST_STORE_PASSWORD}"
  4. 將已停用 FIPS 模式的 vCloud Usage Meter 應用裝置重新開機。
    sudo reboot

為已啟用 FIPS 模式的 vCloud Usage Meter 應用裝置安裝憑證授權機構 (CA) 簽署憑證

若要建立與 vCloud Usage Meter Web 介面的安全網路連線,可以在已啟用 FIPS 模式的 vCloud Usage Meter 應用裝置上安裝 CA 簽署的 SSL 憑證。

若要取得 CA 簽署憑證和私密金鑰,必須產生憑證簽署要求。憑證授權機構使用該要求產生官方憑證。

必要條件

  • 確認您能夠以 usagemeter 身分存取 vCloud Usage Meter 主控台。
  • 從憑證授權機構取得私密金鑰和簽署憑證。兩個檔案都必須採用 PEM 格式。
  • 透過導覽至設定 > 安全性,確認已為 vCloud Usage Meter 應用裝置啟用 FIPS。

程序

  1. 如果憑證由內部憑證授權機構簽署,您必須先在 vCloud Usage Meter 應用裝置中匯入該憑證授權機構。如需相關資訊,請參閱為已啟用 FIPS 模式的 vCloud Usage Meter 應用裝置匯入內部憑證授權機構 (CA) 簽署憑證
  2. usagemeter 身分登入 vCloud Usage Meter 主控台,然後停止所有應用裝置服務。
    cd /opt/vmware/cloudusagemetering
    ./scripts/stop.sh All
    sudo systemctl stop vmware-um-journal.service
    sudo systemctl stop vmware-um-login.service
    sudo systemctl stop vmware-um-schedule.service
  3. 匯出環境變數。
    export $(grep -v '^#' "/opt/vmware/cloudusagemetering/platform/conf/env.properties" | xargs)
  4. 備份現有 vCloud Usage Meter 應用裝置憑證。
    1. 備份現有金鑰儲存區。
      mv /opt/vmware/cloudusagemetering/platform/security/keystore /opt/vmware/cloudusagemetering/platform/security/keystore.backup
    2. 將現有金鑰儲存區項目從指定的別名移至 destalias 參數下的新別名。
      備註: 如果 vCloud Usage Meter 已停用 FIPS 模式,請參閱 為已停用 FIPS 模式的 vCloud Usage Meter 應用裝置安裝憑證授權機構 (CA) 簽署憑證
      keytool -changealias -alias "usage-meter-platform" -destalias "usage-meter-platform-backup" -keystore /opt/vmware/cloudusagemetering/platform/security/cacerts -storetype BCFKS -providerclass org.bouncycastle.jcajce.provider.BouncyCastleFipsProvider -providerpath /opt/vmware/cloudusagemetering/platform/lib/bc-fips-1.0.2.1.jar -storepass "${TRUST_STORE_PASSWORD}"
  5. 將 CA 簽署憑證和私密金鑰匯入 vCloud Usage Meter 應用裝置中。
    1. 建立一個暫存目錄,並將該目錄路徑設定為 NGINX_FOLDER 環境變數。
      export NGINX_FOLDER=$(mktemp -d)
    2. 在該暫存目錄下建立兩個暫存子目錄。
      mkdir ${NGINX_FOLDER}/private
      mkdir ${NGINX_FOLDER}/certs
    3. 將 CA 簽署憑證上傳到 ${NGINX_FOLDER}/certs/ 資料夾,並將該檔案重新命名為 nginx-selfsigned.crt
    4. 將 CA 簽署私密金鑰上傳到 ${NGINX_FOLDER}/private/ 資料夾,並將該檔案重新命名為 nginx-selfsigned.key
  6. 為 CA 簽署憑證建立新的金鑰儲存區。
    備註: 確保位於 /opt/vmware/cloudusagemetering 目錄。
    ./platform/bin/create-keystore.sh
  7. (選擇性) 移除所有暫存資料夾和備份資料夾,然後刪除舊的 vCloud Usage Meter 憑證。
    rm -rf $NGINX_FOLDER
    rm /opt/vmware/cloudusagemetering/platform/security/keystore.backup
    keytool -delete -alias "usage-meter-platform-backup" -keystore /opt/vmware/cloudusagemetering/platform/security/cacerts -storetype BCFKS -providerclass org.bouncycastle.jcajce.provider.BouncyCastleFipsProvider -providerpath /opt/vmware/cloudusagemetering/platform/lib/bc-fips-1.0.2.1.jar -storepass "${TRUST_STORE_PASSWORD}"
  8. 設定金鑰儲存區的權限。
    chmod 0640 /opt/vmware/cloudusagemetering/platform/security/keystore
  9. vCloud Usage Meter 應用裝置重新開機。
    sudo reboot
    如果在 vCloud Usage Meter 應用裝置上成功安裝了 CA 簽署的 SSL 憑證,則下次登入 vCloud Usage Meter Web 介面時不會顯示安全性警告。

為已停用 FIPS 模式的 vCloud Usage Meter 應用裝置安裝憑證授權機構 (CA) 簽署憑證

若要建立與 vCloud Usage Meter Web 介面的安全網路連線,可以在已停用 FIPS 模式的 vCloud Usage Meter 應用裝置上安裝 CA 簽署的 SSL 憑證。

若要取得 CA 簽署憑證和私密金鑰,必須產生憑證簽署要求。憑證授權機構使用該要求產生官方憑證。

必要條件

  • 確認您能夠以 usagemeter 身分存取 vCloud Usage Meter 主控台。
  • 從憑證授權機構取得私密金鑰和簽署憑證。兩個檔案都必須採用 PEM 格式。
  • 透過導覽至設定 > 安全性,確認已為 vCloud Usage Meter 應用裝置停用 FIPS。

程序

  1. 如果憑證由內部憑證授權機構簽署,您必須先在已停用 FIPS 模式的 vCloud Usage Meter 應用裝置中匯入該憑證授權機構。如需相關資訊,請參閱為已停用 FIPS 模式的 vCloud Usage Meter 應用裝置匯入內部憑證授權機構 (CA) 簽署憑證
  2. usagemeter 身分登入 vCloud Usage Meter 主控台,然後停止所有應用裝置服務。
    cd /opt/vmware/cloudusagemetering
    ./scripts/stop.sh All
    sudo systemctl stop vmware-um-journal.service
    sudo systemctl stop vmware-um-login.service
    sudo systemctl stop vmware-um-schedule.service
  3. 匯出環境變數。
    export $(grep -v '^#' "/opt/vmware/cloudusagemetering/platform/conf/env.properties" | xargs)
  4. 備份現有 vCloud Usage Meter 應用裝置憑證。
    1. 備份現有金鑰儲存區。
      mv /opt/vmware/cloudusagemetering/platform/security/keystore /opt/vmware/cloudusagemetering/platform/security/keystore.backup
    2. 將現有金鑰儲存區項目從指定的別名移至 destalias 參數下的新別名。
      keytool -changealias -alias "usage-meter-platform" -destalias "usage-meter-platform-backup" -keystore /opt/vmware/cloudusagemetering/platform/security/cacerts -storepass "${TRUST_STORE_PASSWORD}"
  5. 將已停用 FIPS 模式的 CA 簽署憑證和私密金鑰匯入已停用 FIPS 模式的 vCloud Usage Meter 應用裝置中。
    1. 建立一個暫存目錄,並將該目錄路徑設定為 NGINX_FOLDER 環境變數。
      export NGINX_FOLDER=$(mktemp -d)
    2. 在該暫存目錄下建立兩個暫存子目錄。
      mkdir ${NGINX_FOLDER}/private
      mkdir ${NGINX_FOLDER}/certs
    3. 將 CA 簽署憑證上傳到 ${NGINX_FOLDER}/certs/ 資料夾,並將該檔案重新命名為 nginx-selfsigned.crt
    4. 將 CA 簽署私密金鑰上傳到 ${NGINX_FOLDER}/private/ 資料夾,並將該檔案重新命名為 nginx-selfsigned.key
  6. 為 CA 簽署憑證建立新的金鑰儲存區。
    備註: 確保位於 /opt/vmware/cloudusagemetering 目錄。
    ./platform/bin/create-keystore.sh
  7. (選擇性) 移除所有暫存資料夾和備份資料夾,然後刪除舊的 vCloud Usage Meter 憑證。
    rm -rf $NGINX_FOLDER
    rm /opt/vmware/cloudusagemetering/platform/security/keystore.backup
    keytool -delete -alias "usage-meter-platform-backup" -keystore /opt/vmware/cloudusagemetering/platform/security/cacerts -storepass "${TRUST_STORE_PASSWORD}"
  8. 設定金鑰儲存區的權限。
    chmod 0640 /opt/vmware/cloudusagemetering/platform/security/keystore
  9. 將已停用 FIPS 模式的 vCloud Usage Meter 應用裝置重新開機。
    sudo reboot
    如果在已停用 FIPS 模式的 vCloud Usage Meter 應用裝置上成功安裝了 CA 簽署的 SSL 憑證,則下次登入 vCloud Usage Meter Web 介面時不會顯示安全性警告。

對於已啟用 FIPS 模式的 vCloud Usage Meter 應用裝置,將應用裝置的預設自我簽署 SSL 憑證取代為新的自我簽署憑證

可以透過產生並安裝新的自我簽署憑證,取代已啟用 FIPS 模式的 vCloud Usage Meter 應用裝置的預設自我簽署憑證。

必要條件

  • 確認您能夠以 usagemeter 身分存取 vCloud Usage Meter 主控台。
  • 透過導覽至設定 > 安全性,確認已為 vCloud Usage Meter 應用裝置啟用 FIPS。

程序

  1. usagemeter 身分登入 vCloud Usage Meter 主控台,然後停止所有應用裝置服務。
    cd /opt/vmware/cloudusagemetering
    ./scripts/stop.sh All
    sudo systemctl stop vmware-um-journal.service
    sudo systemctl stop vmware-um-login.service
    sudo systemctl stop vmware-um-schedule.service
  2. 匯出環境變數。
    export $(grep -v '^#' "/opt/vmware/cloudusagemetering/platform/conf/env.properties" | xargs)
  3. 備份現有 vCloud Usage Meter 應用裝置憑證。
    1. 備份現有金鑰儲存區。
      mv /opt/vmware/cloudusagemetering/platform/security/keystore /opt/vmware/cloudusagemetering/platform/security/keystore.backup
    2. 將現有金鑰儲存區項目從指定的別名移至 destalias 參數下的新別名。
      keytool -changealias -alias "usage-meter-platform" -destalias "usage-meter-platform-backup" -keystore /opt/vmware/cloudusagemetering/platform/security/cacerts -storetype BCFKS -providerclass org.bouncycastle.jcajce.provider.BouncyCastleFipsProvider -providerpath /opt/vmware/cloudusagemetering/platform/lib/bc-fips-1.0.2.1.jar -storepass "${TRUST_STORE_PASSWORD}"
  4. 建立一個暫存目錄,並將該目錄路徑設定為 NGINX_FOLDER 環境變數。
    export NGINX_FOLDER=$(mktemp -d)
  5. 為新的自我簽署憑證建立金鑰儲存區。
    備註: 確保位於 /opt/vmware/cloudusagemetering 目錄。
    ./platform/bin/create-keystore.sh
  6. (選擇性) 移除所有暫存資料夾和備份資料夾,然後刪除舊的 vCloud Usage Meter 憑證。
    rm -rf $NGINX_FOLDER
    rm /opt/vmware/cloudusagemetering/platform/security/keystore.backup
    keytool -delete -alias "usage-meter-platform-backup" -keystore /opt/vmware/cloudusagemetering/platform/security/cacerts -storetype BCFKS -providerclass org.bouncycastle.jcajce.provider.BouncyCastleFipsProvider -providerpath /opt/vmware/cloudusagemetering/platform/lib/bc-fips-1.0.2.1.jar -storepass "${TRUST_STORE_PASSWORD}"
  7. 設定金鑰儲存區的權限。
    chmod 0640 /opt/vmware/cloudusagemetering/platform/security/keystore
  8. 將已啟用 FIPS 模式的 vCloud Usage Meter 應用裝置重新開機。
    sudo reboot

對於已停用 FIPS 模式的 vCloud Usage Meter 應用裝置,將應用裝置的預設自我簽署 SSL 憑證取代為新的自我簽署憑證

可以透過產生並安裝新的自我簽署憑證,取代已停用 FIPS 模式的 vCloud Usage Meter 應用裝置的預設自我簽署憑證。

必要條件

  • 確認您能夠以 usagemeter 身分存取 vCloud Usage Meter 主控台。
  • 透過導覽至設定 > 安全性,確認已為 vCloud Usage Meter 應用裝置停用 FIPS。

程序

  1. usagemeter 身分登入 vCloud Usage Meter 主控台,然後停止所有應用裝置服務。
    cd /opt/vmware/cloudusagemetering
    ./scripts/stop.sh All
    sudo systemctl stop vmware-um-journal.service
    sudo systemctl stop vmware-um-login.service
    sudo systemctl stop vmware-um-schedule.service
  2. 匯出環境變數。
    export $(grep -v '^#' "/opt/vmware/cloudusagemetering/platform/conf/env.properties" | xargs)
  3. 備份現有 vCloud Usage Meter 應用裝置憑證。
    1. 備份現有金鑰儲存區。
      mv /opt/vmware/cloudusagemetering/platform/security/keystore /opt/vmware/cloudusagemetering/platform/security/keystore.backup
    2. 將現有金鑰儲存區項目從指定的別名移至 destalias 參數下的新別名。
      keytool -changealias -alias "usage-meter-platform" -destalias "usage-meter-platform-backup" -keystore /opt/vmware/cloudusagemetering/platform/security/cacerts -storepass "${TRUST_STORE_PASSWORD}"
  4. 建立一個暫存目錄,並將該目錄路徑設定為 NGINX_FOLDER 環境變數。
    export NGINX_FOLDER=$(mktemp -d)
  5. 為新的自我簽署憑證建立金鑰儲存區。
    備註: 確保位於 /opt/vmware/cloudusagemetering 目錄。
    ./platform/bin/create-keystore.sh
  6. (選擇性) 移除所有暫存資料夾和備份資料夾,然後刪除舊的 vCloud Usage Meter 憑證。
    rm -rf $NGINX_FOLDER
    rm /opt/vmware/cloudusagemetering/platform/security/keystore.backup
    keytool -delete -alias "usage-meter-platform-backup" -keystore /opt/vmware/cloudusagemetering/platform/security/cacerts -storepass "${TRUST_STORE_PASSWORD}"
  7. 設定金鑰儲存區的權限。
    chmod 0640 /opt/vmware/cloudusagemetering/platform/security/keystore
  8. 將已停用 FIPS 模式的 vCloud Usage Meter 應用裝置重新開機。
    sudo reboot

在啟用 FIPS 模式的情況下將憑證匯入 vCloud Usage Meter 應用裝置金鑰儲存區中

如果要新增進行計量的執行個體使用網路與安全性組態實體 (如負載平衡器、Proxy 或防火牆),或透過 HTTPS 或 SMTP over SSL/TLS 使用 Proxy,則必須將其憑證匯入 vCloud Usage Meter 應用裝置金鑰儲存區中。

若要將網路與安全性組態實體的憑證匯入 vCloud Usage Meter 應用裝置金鑰儲存區中,必須取得信任存放區的密碼。密碼位於 /opt/vmware/cloudusagemetering/conf/env.properties 中。

必要條件

  • 確認您能夠以 usagemeter 身分存取 vCloud Usage Meter 應用裝置。
  • 透過導覽至設定 > 安全性,確認已為 vCloud Usage Meter 應用裝置啟用 FIPS。

程序

  1. usagemeter 身分登入 vCloud Usage Meter 主控台,然後停止所有應用裝置服務。
    cd /opt/vmware/cloudusagemetering
    ./scripts/stop.sh All
    sudo systemctl stop vmware-um-journal.service
    sudo systemctl stop vmware-um-login.service
    sudo systemctl stop vmware-um-schedule.service
  2. 若要擷取環境變數中的信任存放區密碼,請執行以下命令。
    export $(grep -v '^#' "/opt/vmware/cloudusagemetering/platform/conf/env.properties" | xargs)
  3. 若要將憑證匯入 vCloud Usage Meter 應用裝置金鑰儲存區,請執行以下命令。
    keytool -import -trustcacerts -alias certificate-alias -file certificate-file -keystore  /opt/vmware/cloudusagemetering/resources/cacerts -storetype bcfks -storepass "${TRUST_STORE_PASSWORD}" -providername BCFIPS -providerclass org.bouncycastle.jcajce.provider.BouncyCastleFipsProvider -providerpath /opt/vmware/cloudusagemetering/jars/bc-fips-*.jar
  4. 將已啟用 FIPS 模式的 vCloud Usage Meter 應用裝置重新開機。
    sudo reboot

在停用 FIPS 模式的情況下將憑證匯入 vCloud Usage Meter 應用裝置金鑰儲存區

如果要新增進行計量的執行個體使用網路與安全性組態實體 (如負載平衡器、Proxy 或防火牆),或透過 HTTPS 或 SMTP over SSL/TLS 使用 Proxy 且應用裝置已停用 FIPS,則必須將其憑證匯入 vCloud Usage Meter 應用裝置金鑰儲存區中。

若要將網路與安全性組態實體的憑證匯入 vCloud Usage Meter 應用裝置金鑰儲存區中,必須取得信任存放區的密碼。密碼位於 /opt/vmware/cloudusagemetering/conf/env.properties 中。

必要條件

  • 確認您能夠以 usagemeter 身分存取 vCloud Usage Meter 應用裝置。
  • 透過導覽至設定 > 安全性,確認已為 vCloud Usage Meter 應用裝置停用 FIPS。

程序

  1. usagemeter 身分登入 vCloud Usage Meter 主控台,然後停止所有應用裝置服務。
    cd /opt/vmware/cloudusagemetering
    ./scripts/stop.sh All
    sudo systemctl stop vmware-um-journal.service
    sudo systemctl stop vmware-um-login.service
    sudo systemctl stop vmware-um-schedule.service
  2. 若要擷取環境變數中的信任存放區密碼,請執行以下命令。
    export $(grep -v '^#' "/opt/vmware/cloudusagemetering/platform/conf/env.properties" | xargs)
  3. 若要將憑證匯入 vCloud Usage Meter 應用裝置金鑰儲存區,請執行以下命令。
    keytool -import -trustcacerts -alias certificate-alias -file certificate-file -keystore  /opt/vmware/cloudusagemetering/resources/cacerts -storepass "${TRUST_STORE_PASSWORD}"
  4. 將已停用 FIPS 模式的 vCloud Usage Meter 應用裝置重新開機。
    sudo reboot