Você pode implantar o dispositivo VMware Cloud Director com certificados curinga assinados. Você pode usar esses certificados para proteger um número ilimitado de servidores que são subdomínios do nome de domínio listado no certificado.

Por padrão, ao implantar dispositivos do VMware Cloud Director, o VMware Cloud Director gera certificados autoassinados e os utiliza para configurar a célula do VMware Cloud Director para comunicação HTTPS ou via proxy de console.

Quando você implanta um dispositivo primário com êxito, a lógica de configuração do dispositivo copia o arquivo responses.properties do dispositivo primário para o armazenamento do serviço de transferência compartilhada NFS comum em /opt/vmware/vcloud-director/data/transfer. Outros dispositivos implantados para esse grupo de servidores do VMware Cloud Director usam esse arquivo para se configurarem automaticamente. O arquivo responses.properties inclui um caminho para o certificado SSL e a chave privada, que inclui os certificados autoassinados gerados automaticamente user.certificate.path, a chave privada user.key.path, certificados de proxy do console user.consoleproxy.certificate.path e a chave privada de proxy do console user.consoleproxy.key.path. Por padrão, esses caminhos são para arquivos PEM que são locais para cada dispositivo.

Observação: A senha de chave que você usa para os certificados deve corresponder à senha raiz inicial usada ao implantar todos os dispositivos.

Depois de implantar o dispositivo primário, você pode reconfigurá-lo para usar certificados assinados. Para obter mais informações sobre como criar os certificados assinados, consulte Criar e importar certificados SSL assinados pela autoridade de certificação para o dispositivo do VMware Cloud Director.

Se os certificados assinados que você usar no dispositivo primário VMware Cloud Director forem certificados curinga assinados, eles poderão ser aplicados a todos os outros dispositivos no grupo de servidores do VMware Cloud Director, ou seja, células em espera e células de aplicativo do VMware Cloud Director. Você pode usar a implantação do dispositivo com certificados curinga assinados para comunicação HTTPS e via proxy de console, para configurar as células adicionais com os certificados SSL curinga assinados.

Procedimento

  1. Copie os arquivos user.http.pem, user.http.key, user.consoleproxy.pem e user.consoleproxy.key do dispositivo primário para o compartilhamento de transferência em /opt/vmware/vcloud-director/data/transfer/.
  2. Altere as permissões do proprietário e grupo nos arquivos de certificado para vcloud.
    chown vcloud.vcloud /opt/vmware/vcloud-director/data/transfer/user.http.pem
    chown vcloud.vcloud /opt/vmware/vcloud-director/data/transfer/user.http.key
    chown vcloud.vcloud /opt/vmware/vcloud-director/data/transfer/user.consoleproxy.pem
    chown vcloud.vcloud /opt/vmware/vcloud-director/data/transfer/user.consoleproxy.key
  3. Verifique se o proprietário dos arquivos de certificado tem permissões de leitura e gravação.
    chmod 0750 /opt/vmware/vcloud-director/data/transfer/user.http.pem
    chmod 0750 /opt/vmware/vcloud-director/data/transfer/user.http.key
    chmod 0750 /opt/vmware/vcloud-director/data/transfer/user.consoleproxy.pem
    chmod 0750 /opt/vmware/vcloud-director/data/transfer/user.consoleproxy.key
  4. No dispositivo primário, execute o comando para importar os novos certificados assinados para a instância do VMware Cloud Director.

    Esses comandos também atualizam o arquivo responses.properties no compartilhamento de transferência, modificando as variáveis user.certificate.path, user.key.path, user.consoleproxy.certificate.path e user.consoleproxy.key.path para apontar para os arquivos de certificado no compartilhamento de transferência.

    /opt/vmware/vcloud-director/bin/cell-management-tool certificates -j --cert /opt/vmware/vcloud-director/data/transfer/user.http.pem --key /opt/vmware/vcloud-director/data/transfer/user.http.key --key-password root-password
    /opt/vmware/vcloud-director/bin/cell-management-tool certificates -p --cert /opt/vmware/vcloud-director/data/transfer/user.consoleproxy.pem --key /opt/vmware/vcloud-director/data/transfer/user.consoleproxy.key --key-password root-password
  5. Para que os novos certificados assinados tenham efeito, reinicie o serviço vmware-vcd no dispositivo primário.
    1. Execute o comando para interromper o serviço.
      /opt/vmware/vcloud-director/bin/cell-management-tool cell -i $(service vmware-vcd pid cell) -s
    2. Execute o comando para iniciar o serviço.
      systemctl start vmware-vcd
  6. Implante a célula em espera e os dispositivos de células de aplicativo usando a senha raiz inicial que corresponde à senha da chave.

Resultados

Todos os dispositivos recém-instalados que usam o mesmo armazenamento do serviço de transferência compartilhado NFS são configurados com os mesmos certificados SSL curinga assinados que são usados pelo dispositivo primário.