Gerando certificados autoassinados para os endpoints de proxy do console e HTTPS

Use o comando generate-certs da ferramenta de gerenciamento de célula para gerar certificados SSL autoassinados para os endpoints de proxy do console e HTTPS.

Cada grupo de servidores do VMware Cloud Director deve oferecer suporte a dois endpoints SSL: um para o serviço HTTPS e outro para o serviço de proxy do console. O endpoint do serviço HTTPS oferece suporte ao VMware Cloud Director Service Provider Admin Portal, ao VMware Cloud Director Tenant Portal e à API do VMware Cloud Director. O endpoint de proxy de console remoto oferece suporte a conexões VMRC para vApps e VMs.

O comando generate-certs da ferramenta de gerenciamento de célula automatiza o procedimento Criar certificados SSL autoassinados para o VMware Cloud Director no Linux.

Para gerar novos certificados SSL autoassinados, use uma linha de comando com o seguinte formato:

cell-management-tool generate-certs options

Tabela 1. Argumentos e opções de ferramenta de gerenciamento de célula, subcomando generate-certs
Opção	Argumento	Descrição
--help (-h)	Nenhum	Fornece um resumo dos comandos disponíveis nessa categoria.
--expiration (-x)	`days-until-expiration`	Número de dias até que os certificados expirem. O padrão é 365
--issuer (-i)	`name`=`value` [, `name`=`value`, ...]	Nome distinto X.509 do emissor do certificado. O padrão é `CN=FQDN`. em que `FQDN` será o nome de domínio completo da célula ou seu endereço IP se nenhum nome de domínio completo estiver disponível. Se você especificar vários pares de valor e atributo, separe-os por vírgulas e coloque o argumento inteiro entre aspas.
--key-size (-s)	`key-size`	Tamanho do par de chaves expresso como um número inteiro de bits. O padrão é 2048. Os tamanhos de chave menores do que 1024 não têm suporte pela Publicação Especial NIST 800-131A.
--key-password	`key-password`	Senha para a chave privada gerada.
--cert	`cert`	Caminho para o arquivo de certificado gerado.
--key	key	Caminho para o arquivo de chave privada gerado.

Criação de certificados autoassinados

Ambos os exemplos pressupõem um arquivo de certificado em /tmp/cell.pem e um arquivo de chave privada correspondente em /tmp/cell.key com a senha kpw. Esses arquivos serão criados se eles ainda não existirem.

Esse exemplo cria os novos certificados usando os padrões. O nome do emissor é definido como CN=Unknown. O certificado usa o comprimento de chave de 2048 bits padrão e expira um ano após a criação.

[root@cell1 /opt/vmware/vcloud-director/bin]# ./cell-management-tool generate-certs --cert /tmp/cell.pem --key /tmp/cell.key --key-password kpw
New certificate created and written to /tmp/cell.pem
New private key created and written to /tmp/cell.key

Esse exemplo especifica valores personalizados para o tamanho da chave e o nome do emissor. O nome do emissor é definido como CN=Test, L=London, C=GB. O novo certificado para a conexão HTTPS tem uma chave de 4096 bits e expira 90 dias após a criação.

[root@cell1 /opt/vmware/vcloud-director/bin]# ./cell-management-tool generate-certs --cert /tmp/cell.pem --key /tmp/cell.key --key-password kpw -i "CN=Test, L=London, C=GB" -s 4096 -x 90
New certificate created and written to /tmp/cell.pem
New private key created and written to /tmp/cell.key

Importante: Os arquivos de certificado e chave privada, e o diretório no qual eles estão armazenados, devem ser legíveis pelo usuário vcloud.vcloud. O instalador do VMware Cloud Director cria esse usuário e grupo.