Criar e importar certificados assinados pela autoridade de certificação fornece o mais alto nível de confiança para comunicações SSL e ajuda a proteger as conexões na infraestrutura da sua nuvem.

Cada servidor do VMware Cloud Director deve oferecer suporte a dois endpoints SSL diferentes, um para HTTPS e um para comunicações de proxy do console.

Importante: Se estiver usando endereços IP separados para o serviço HTTPS e para o serviço de proxy do console, você deverá concluir esse procedimento uma vez para o endereço IP do serviço HTTPS e novamente para o endereço IP do serviço de proxy do console.

Os dois endpoints podem ser endereços IP separados ou um único endereço IP com duas portas diferentes. Você pode usar o mesmo certificado para ambos os endpoints, por exemplo, usando um certificado curinga.

Os certificados para ambos os endpoints devem incluir um nome distinto X.500 e uma extensão de Nome Alternativo de Requerente X.509

Você pode usar certificados assinados por uma autoridade de certificação confiável (CA) ou certificados autoassinados.

Use o cell-management-tool para criar os certificados SSL autoassinados. O utilitário do cell-management-tool é instalado na célula antes que o agente de configuração seja executado e depois que você executar o arquivo de instalação. Consulte Instalar o VMware Cloud Director no primeiro membro de um grupo de servidores.

Importante: Esses exemplos especificam um tamanho de chave de 2048 bits, mas você deve avaliar os requisitos de segurança da instalação antes de escolher um tamanho de chave apropriado. Tamanhos de chaves menores que 1024 bits não são mais suportados pelo NIST Special Publication 800-131A.

Pré-requisitos

Procedimento

  1. Faça login diretamente ou usando um cliente SSH no sistema operacional da célula de servidor do VMware Cloud Director como root.
  2. Dependendo das necessidades do ambiente, escolha uma das opções a seguir.
    • Se tiver sua própria chave privada e arquivos de certificado assinados por CA, pule para a Etapa 6.
    • Se você quiser gerar novos certificados com opções personalizadas, como um tamanho de chave maior, continue na Etapa 3.
  3. Execute o comando para criar um par de chaves pública/privada para o serviço HTTPS e para o serviço de proxy do console.
    /opt/vmware/vcloud-director/bin/cell-management-tool generate-certs --cert cert.pem --key cert.key --key-password key_password

    O comando cria ou substitui um arquivo de certificado em cert.pem e o arquivo de chave privada em cert.key pela senha especificada. Os certificados são criados usando os valores padrão do comando. Dependendo da configuração de DNS do seu ambiente, o CN do emissor é definido como o endereço IP ou o FQDN de cada serviço. O certificado usa o comprimento de chave de 2048 bits padrão e expira um ano após a criação.

    Importante: O arquivo de certificado, o arquivo de chave privada e o diretório no qual eles estão armazenados devem ser legíveis pelo usuário vcloud.vcloud. O VMware Cloud Director e o diretório no qual ele é armazenado devem ser legíveis pelo usuário vcloud.vcloud. O instalador do VMware Cloud Director cria esse usuário e grupo.
  4. Crie uma solicitação de assinatura de certificado no arquivo cert.csr.
    openssl req -new -key cert.key -reqexts SAN -config <(cat /etc/ssl/openssl.cnf <(printf "\n[SAN]\nsubjectAltName=DNS:vcd2.example.com,DNS:vcd2,IP:10.100.101.10\n")) -out cert.csr
  5. Envie as solicitações de assinatura de certificado para sua Autoridade de Certificação.
    Se a sua autoridade de certificação exigir que você especifique um tipo de servidor da Web, use o Tomcat da Jakarta.
    Você obtém os certificados assinados pela CA.
  6. Execute o comando para anexar o certificado assinado pela CA raiz e quaisquer certificados intermediários ao certificado gerado na Etapa 2.
    cat intermediate-certificate-file-1.cer intermediate-certificate-file-2.cer root-CA-certificate.cer >> cert.pem
  7. Repita esse procedimento em todos os servidores do VMware Cloud Director no grupo de servidores.

O que Fazer Depois

  • Se você ainda não tiver configurado sua instância do VMware Cloud Director, execute o script configure para importar os certificados para o VMware Cloud Director. Consulte Configurar as conexões de rede e banco de dados.
    Observação: Se você tiver criado os arquivos de certificado cert.pem ou cert.key em um computador diferente do servidor no qual gerou a lista de nomes de domínio totalmente qualificados e seus endereços IP associados, copie os arquivos cert.pem e cert.key para esse servidor agora. Você precisará dos nomes do certificado e do caminho da chave privada ao executar o script de configuração.
  • Se você já tiver instalado e configurado sua instância do VMware Cloud Director, use o comando certificates da ferramenta de gerenciamento de células para importar os certificados. Consulte Substituindo certificados para os endpoints de proxy de console e HTTPS.