En esta ocasión quiero compartir con Uds. el cómo Renovar sus certificados en Cloud Director 10.3.2, si bien esto siempre ha sido trivial en versiones anteriores, hoy es un poco más complejo tornándose para mucha gente le resulta difícil el proceso
Espero que con el transcurrir de las versiones de VMware Cloud Director sea más fácil para las personas que podrían no estar familiarizadas a trabajar con diferentes tipos de certificados. Bueno sin más, aquí está el nuevo proceso para reemplazar sus certificados en Cloud Director 10.3.2 simplificado.
si tu certificado corresponde aun entidad externa tu organización y está a punto de caducar y desea reemplazarlo. Entonces tendrás que seguir el nuevo proceso.
En un entorno de una sola celda, VMware recomienda simplemente reemplazar los certificados en la siguiente ubicación,
/opt/vmware/vcloud-directory/etc/user.http.pem/opt/vmware/vcloud-director/etc/user.http.key/opt/vmware/vcloud-director/etc/user.consoleproxy.pem/opt/vmware/vcloud-director/etc/user.consoleproxy.key
Si tiene un entorno de varias celdas y está utilizando wildcard, recomiendan colocar las nuevas copias de los archivos de certificado en el recurso compartido de transferencia,
/opt/vmware/vcloud-director/data/transfer/user.http.pem/opt/vmware/vcloud-director/data/transfer/user.http.key/opt/vmware/vcloud-director/data/transfer/user.consoleproxy.pem/opt/vmware/vcloud-director/data/transfer/user.consoleproxy.key
Para reemplazar los certificados en Cloud Director 10.3.2 necesitamos los siguientes archivos, puedes solicitarlos a tu entidad certificadora o bien desde un archivo .PFX puedes tambien realizarlo.
• user.http.key
• user.http.pem
• user.consoleproxy.key
• user.consoleproxy.pem
una vez que tengas los archivos debes copiarlos a la celda primaria en mi caso tengo 3 celdas.
Para comenzar SSH en su celda de Cloud Director y vaya al directorio /tmp. A continuación, ejecute el siguiente comando para extraer el user.http.key,
openssl pkcs12 -in /tmp/certificate.cloud.pfx -nocerts -nodes | sed -ne ‘/-BEGIN PRIVATE KEY-/,/-END PRIVATE KEY-/p’ > /tmp/user.http.key
A continuación, ejecute el siguiente comando para extraer el user.http.pem,
openssl pkcs12 -in /tmp/certificate.cloud.pfx -nokeys | sed -ne ‘/-BEGIN CERTIFICATE-/,/-END CERTIFICATE-/p’ > /tmp/user.http.pem
A continuación, ejecute el siguiente comando para extraer el user.consoleproxy.key,
openssl pkcs12 -in /tmp/certificate.cloud.pfx -nocerts -nodes | sed -ne ‘/-BEGIN PRIVATE KEY-/,/-END PRIVATE KEY-/p’ > /tmp/user.consoleproxy.key
A continuación, ejecute el siguiente comando para extraer el user.consoleproxy.pem,
openssl pkcs12 -in /tmp/certificate.cloud.pfx -nokeys | sed -ne ‘/-BEGIN CERTIFICATE-/,/-END CERTIFICATE-/p’ > /tmp/user.consoleproxy.pem
En esta etapa, es importante verificar el orden de la cadena de certificados en sus archivos pem. El orden debe mostrar primero el certificado principal, luego el certificado intermedio y luego el certificado raíz global. Si sus certificados raíz intermedios y globales están de la manera incorrecta, use el comando vi para editar el archivo pem y cambiar el orden.
El comando a utilizar será vi /tmp/user.http.pem y una vez tengas el archivo abierto pulsa i para insertar.
Por ejemplo, si su certificado raíz global está por encima de su intermedio, resalte la raíz global de –BEGIN CERTIFICATE– a –END CERTIFICATE– y luego péguela debajo del intermedio. Luego vuelva a la primera línea de la sección que resaltó y presione dd para eliminar cada línea. Una vez completado, presione :wq para guardar los cambios. Su archivo pem ahora debería estar en el orden correcto. Deberá hacerlo para user.http.pem y user.consoleproxy.pem
En mi caso utilizo wildcard , para este ejemplo por ende debes poner los nuevos certificados en el recurso compartido de transferencia (/opt/vmware/vcloud-director/data/transfer). Este proceso es similar a lo que sucedera en produccion , ya que el certificado estaría disponible para sus otras celdas. Si desea seguir este proceso para reemplazar el certificado en su entorno de una sola celda, simplemente cambie el destino a /opt/vmware/vcloud-director/etc/ en su lugar.
Ejecute los siguientes comandos para copiar los certificados en el recurso compartido de transferencia,
cp /tmp/user.http.pem /opt/vmware/vcloud-director/data/transfer/user.http.pemcp /tmp/user.http.key /opt/vmware/vcloud-director/data/transfer/user.http.keycp /tmp/user.consoleproxy.pem /opt/vmware/vcloud-director/data/transfer/user.consoleproxy.pemcp /tmp/user.consoleproxy.key /opt/vmware/vcloud-director/data/transfer/user.consoleproxy.key
A continuación tenemos que comprobar los permisos. Como puede ver, los nuevos archivos cert deben tener los permisos cambiados a vcloud
Ejecute los siguientes comandos para cambiar los permisos de los nuevos archivos de certificado,
chown vcloud:vcloud user.consoleproxy.keychown vcloud:vcloud user.consoleproxy.pemchown vcloud:vcloud user.http.pemchown vcloud:vcloud user.http.key
asegurate de que los arhicvos tengan permisos 750 usando chmod
A continuación, aplique los nuevos certificados ejecutando los siguientes comandos,
Certificados /opt/vmware/vcloud-director/bin/cell-management-tool -j –cert /opt/vmware/vcloud-director/data/transfer/user.http.pem –key /opt/vmware/vcloud-director/data/transfer/user.http.key –key-password root-password
Certificados /opt/vmware/vcloud-director/bin/cell-management-tool -p –cert /opt/vmware/vcloud-director/data/transfer/user.consoleproxy.pem –key /opt/vmware/vcloud-director/data/transfer/user.consoleproxy.key –key-password root-password
Una vez completado, ejecute el siguiente comando para detener el servicio,
/opt/vmware/vcloud-director/bin/cell-management-tool cell -i $(service vmware-vcd pid cell) -s
A continuación, ejecute el siguiente comando para iniciar el servicio,
systemctl start vmware-vcd
NOTA – Si desea comprobar el estado de ejecución – systemctl status vmware-vcd
si tiene celdas adicionales, ejecute los siguientes comandos para actualizar sus certificados,
Certificados /opt/vmware/vcloud-director/bin/cell-management-tool -j –cert /opt/vmware/vcloud-director/data/transfer/user.http.pem –key /opt/vmware/vcloud-director/data/transfer/user.http.key –key-password root-password
Certificados /opt/vmware/vcloud-director/bin/cell-management-tool -p –cert /opt/vmware/vcloud-director/data/transfer/user.consoleproxy.pem –key /opt/vmware/vcloud-director/data/transfer/user.consoleproxy.key –key-password root-password
Una vez completado, ejecute el siguiente comando para detener el servicio,
/opt/vmware/vcloud-director/bin/cell-management-tool cell -i $(service vmware-vcd pid cell) -s
A continuación, ejecute el siguiente comando para iniciar el servicio,
systemctl start vmware-vcd
Ahora vaya a su URL de Cloud Director y el certificado ahora debería actualizarse.