部署 vCloud Usage Meter 後,應用裝置會產生自我簽署的 SSL 憑證。首次透過 HTTPS 存取 vCloud Usage Meter Web 介面時,系統會提示您手動信任自我簽署的憑證。

透過將 vCloud Usage Meter 自我簽署憑證取代為外部或內部憑證授權機構 (CA) 簽署憑證,可以保護與 vCloud Usage Meter 的連線。

執行時,所有 vCloud Usage Meter 應用程式都使用相同的金鑰儲存區和 CA 憑證存放區。NGINX 憑證會在作業系統啟動時更新。除非明確說明,否則可以在 vCloud Usage Meter 主控台上以 usagemeter 身分執行命令。

若要允許與 vCloud Usage Meter 主控台進行遠端互動,您可以在 vSphere Web 主控台中啟用 SSH 或叫用命令。

vCloud Usage Meter 應用裝置將憑證儲存在 Java 金鑰儲存區中,該金鑰儲存區位於 /opt/vmware/cloudusagemetering/platform/security/keystore 中。

CA 憑證金鑰儲存區位於 /opt/vmware/cloudusagemetering/platform/security/cacerts 中。

匯入內部憑證授權機構 (CA) 簽署憑證

如果要將 vCloud Usage Meter 憑證取代為內部憑證授權機構 (CA) 簽署的憑證,則必須先將該 CA 匯入 vCloud Usage Meter 應用裝置中。

必要條件

  • 確認您能夠以 usagemeter 身分存取 vCloud Usage Meter 主控台。
  • 確認您能夠以 root 身分存取 vCloud Usage Meter 主控台

程序

  1. usagemeter 身分登入 vCloud Usage Meter 主控台,然後停止所有應用裝置服務。 
    cd /opt/vmware/cloudusagemetering
    ./scripts/stop.sh All
  2. 匯出環境變數。 
    export $(grep -v '^#' "/opt/vmware/cloudusagemetering/platform/conf/env.properties" | xargs)
  3. vCloud Usage Meter 應用裝置與內部憑證授權機構簽署的憑證之間建立信任關係。
    在以下命令的 alias 內容下輸入用於在金鑰儲存區中識別憑證的名稱。 
    keytool -import -trustcacerts -file filepath-to-the-certificate -alias custom-internal-certificate-authority -keystore /opt/vmware/cloudusagemetering/platform/security/cacerts -storetype BCFKS -providerclass org.bouncycastle.jcajce.provider.BouncyCastleFipsProvider -providerpath /opt/vmware/cloudusagemetering/platform/lib/bc-fips-1.0.2.1.jar -storepass "${TRUST_STORE_PASSWORD}"
  4. root 身分登入並將 vCloud Usage Meter 應用裝置重新開機。 
    reboot

安裝憑證授權機構 (CA) 簽署憑證

若要建立與 vCloud Usage Meter Web 介面的安全網路連線,可以在 vCloud Usage Meter 應用裝置上安裝 CA 簽署的 SSL 憑證。

若要取得 CA 簽署憑證和私密金鑰,必須產生憑證簽署要求。憑證授權機構使用該要求產生官方憑證。

必要條件

  • 確認您能夠以 usagemeter 身分存取 vCloud Usage Meter 主控台。
  • 從憑證授權機構取得私密金鑰和簽署憑證。兩個檔案都必須採用 PEM 格式。
  • 如果憑證由內部憑證授權機構簽署,您必須先在 vCloud Usage Meter 應用裝置中匯入該憑證授權機構。如需相關資訊,請參閱匯入內部憑證授權機構 (CA) 簽署憑證

程序

  1. usagemeter 身分登入 vCloud Usage Meter 主控台,然後停止所有應用裝置服務。 
    cd /opt/vmware/cloudusagemetering
    ./scripts/stop.sh All
  2. 匯出環境變數。 
    export $(grep -v '^#' "/opt/vmware/cloudusagemetering/platform/conf/env.properties" | xargs)
  3. 備份現有 vCloud Usage Meter 應用裝置憑證。
    1. 備份現有金鑰儲存區。 
      mv /opt/vmware/cloudusagemetering/platform/security/keystore /opt/vmware/cloudusagemetering/platform/security/keystore.backup
    2. 將現有金鑰儲存區項目從指定的別名移至 destalias 參數下的新別名。 
      keytool -changealias -alias "usage-meter-platform" -destalias "usage-meter-platform-backup" -keystore /opt/vmware/cloudusagemetering/platform/security/cacerts -storetype BCFKS -providerclass org.bouncycastle.jcajce.provider.BouncyCastleFipsProvider -providerpath /opt/vmware/cloudusagemetering/platform/lib/bc-fips-1.0.2.1.jar -storepass "${TRUST_STORE_PASSWORD}"
  4. 將 CA 簽署憑證和私密金鑰匯入 vCloud Usage Meter 應用裝置中。
    1. 建立一個暫存目錄,並將該目錄路徑設定為 NGINX_FOLDER 環境變數。 
      export NGINX_FOLDER=$(mktemp -d)
    2. 在該暫存目錄下建立兩個暫存子目錄。 
      mkdir ${NGINX_FOLDER}/private
      mkdir ${NGINX_FOLDER}/certs
    3. 將 CA 簽署憑證上傳到 ${NGINX_FOLDER}/certs/ 資料夾,並將該檔案重新命名為 nginx-selfsigned.crt
    4. 將 CA 簽署私密金鑰上傳到 ${NGINX_FOLDER}/private/ 資料夾,並將該檔案重新命名為 nginx-selfsigned.key
  5. 為 CA 簽署憑證建立新的金鑰儲存區。 
    ./platform/bin/create-keystore.sh
  6. (選擇性) 移除所有暫存資料夾和備份資料夾,然後刪除舊的 vCloud Usage Meter 憑證。 
    rm -rf $NGINX_FOLDER
    rm /opt/vmware/cloudusagemetering/platform/security/keystore.backup
    keytool -delete -alias "usage-meter-platform-backup" -keystore /opt/vmware/cloudusagemetering/platform/security/cacerts -storetype BCFKS -providerclass org.bouncycastle.jcajce.provider.BouncyCastleFipsProvider -providerpath /opt/vmware/cloudusagemetering/platform/lib/bc-fips-1.0.2.1.jar -storepass "${TRUST_STORE_PASSWORD}"
  7. 設定金鑰儲存區的權限。 
    chmod 0640 /opt/vmware/cloudusagemetering/platform/security/keystore
  8. vCloud Usage Meter 應用裝置重新開機。
    如果在 vCloud Usage Meter 應用裝置上成功安裝了 CA 簽署的 SSL 憑證,則下次登入 vCloud Usage Meter Web 介面時不會顯示安全性警告。

將應用裝置的預設自我簽署 SSL 憑證取代為新的自我簽署憑證

可以透過產生並安裝新的自我簽署憑證來取代 vCloud Usage Meter 應用裝置的預設自我簽署憑證。

必要條件

  • 確認您能夠以 usagemeter 身分存取 vCloud Usage Meter 主控台。
  • 確認您能夠以 root 身分存取 vCloud Usage Meter 主控台。

程序

  1. usagemeter 身分登入 vCloud Usage Meter 主控台,然後停止所有應用裝置服務。 
    cd /opt/vmware/cloudusagemetering
    ./scripts/stop.sh All
  2. 匯出環境變數。 
    export $(grep -v '^#' "/opt/vmware/cloudusagemetering/platform/conf/env.properties" | xargs)
  3. 備份現有 vCloud Usage Meter 應用裝置憑證。
    1. 備份現有金鑰儲存區。 
      mv /opt/vmware/cloudusagemetering/platform/security/keystore /opt/vmware/cloudusagemetering/platform/security/keystore.backup
    2. 將現有金鑰儲存區項目從指定的別名移至 destalias 參數下的新別名。 
      keytool -changealias -alias "usage-meter-platform" -destalias "usage-meter-platform-backup" -keystore /opt/vmware/cloudusagemetering/platform/security/cacerts -storetype BCFKS -providerclass org.bouncycastle.jcajce.provider.BouncyCastleFipsProvider -providerpath /opt/vmware/cloudusagemetering/platform/lib/bc-fips-1.0.2.1.jar -storepass "${TRUST_STORE_PASSWORD}"
  4. 建立一個暫存目錄,並將該目錄路徑設定為 NGINX_FOLDER 環境變數。 
    export NGINX_FOLDER=$(mktemp -d)
  5. 產生新的自我簽署憑證。 
    ./platform/bin/create-keystore.sh
  6. (選擇性) 移除所有暫存資料夾和備份資料夾,然後刪除舊的 vCloud Usage Meter 憑證。 
    rm -rf $NGINX_FOLDER
    rm /opt/vmware/cloudusagemetering/platform/security/keystore.backup
    keytool -delete -alias "usage-meter-platform-backup" -keystore /opt/vmware/cloudusagemetering/platform/security/cacerts -storetype BCFKS -providerclass org.bouncycastle.jcajce.provider.BouncyCastleFipsProvider -providerpath /opt/vmware/cloudusagemetering/platform/lib/bc-fips-1.0.2.1.jar -storepass "${TRUST_STORE_PASSWORD}"
  7. 設定金鑰儲存區的權限。 
    chmod 0640 /opt/vmware/cloudusagemetering/platform/security/keystore
  8. root 身分登入並將 vCloud Usage Meter 應用裝置重新開機。 
    reboot

將憑證匯入 vCloud Usage Meter 應用裝置金鑰儲存區中

如果要新增進行計量的執行個體使用網路與安全性組態實體 (如負載平衡器、Proxy 或防火牆),或透過 HTTPS 使用 Proxy,則必須將其憑證匯入 vCloud Usage Meter 應用裝置金鑰儲存區中。

若要將網路與安全性組態實體的憑證匯入 vCloud Usage Meter 應用裝置金鑰儲存區中,必須取得信任存放區的密碼。密碼位於 /opt/vmware/cloudusagemetering/conf/local.conf 中。

必要條件

  • 確認您能夠以 usagemeter 身分存取 vCloud Usage Meter 應用裝置。

  • 確認您能夠以 root 身分存取 vCloud Usage Meter 應用裝置。

程序

  1. usagemeter 身分登入 vCloud Usage Meter 應用裝置。
  2. 若要擷取環境變數中的信任存放區密碼,請執行以下命令。 
    export TRUSTOREPASS=$(grep "trustStorePassword" /opt/vmware/cloudusagemetering/conf/local.conf | cut -d' ' -f2-)
  3. 若要將憑證匯入 vCloud Usage Meter 應用裝置金鑰儲存區,請執行以下命令。 
    keytool -import -trustcacerts -alias certificate-alias -file certificate-file -keystore 
/opt/vmware/cloudusagemetering/resources/cacerts.bcfks -storetype bcfks -storepass "${TRUSTOREPASS}" -providername BCFIPS -providerclass 
org.bouncycastle.jcajce.provider.BouncyCastleFipsProvider -providerpath /opt/vmware/cloudusagemetering/jars/bc-fips-*.jar
  4. root 身分登入並將 vCloud Usage Meter 應用裝置重新開機。 
    reboot