Criar e importar certificados SSL assinados pela autoridade de certificação para o dispositivo do VMware Cloud Director

Criar e importar certificados assinados por uma autoridade de certificação (CA) fornece o mais alto nível de confiança para comunicações SSL e ajuda a proteger as conexões dentro da nuvem.

Cada servidor do VMware Cloud Director deve oferecer suporte a dois endpoints SSL diferentes, um para HTTPS e um para comunicações de proxy do console.

No dispositivo do VMware Cloud Director, esses dois endpoints compartilham o mesmo endereço IP ou nome de host, mas usam duas portas distintas — 443 para HTTPS e 8443 para comunicações de proxy do console. Você pode usar o mesmo certificado para ambos os endpoints, por exemplo, usando um certificado curinga.

Os certificados para ambos os endpoints devem incluir um nome distinto X.500 e uma extensão de Nome Alternativo de Requerente X.509

Se você já tiver sua própria chave privada e arquivos de certificado assinados pela autoridade de certificação, siga o procedimento descrito em Importar chaves privadas e certificados SSL assinados pela autoridade de certificação para o dispositivo do VMware Cloud Director.

Importante: Na implantação, o dispositivo do VMware Cloud Director gera certificados autoassinados com um tamanho de chave de 2048 bits. Você deve avaliar os requisitos de segurança da instalação antes de escolher um tamanho de chave apropriado. Tamanhos de chaves menores que 1024 bits não são mais suportados pelo NIST Special Publication 800-131A.

A senha da chave privada usada neste procedimento é a senha do usuário root e é representada como root_password.

Procedimento

Faça login diretamente ou usando um cliente SSH no console do dispositivo do VMware Cloud Director como root.
Dependendo das necessidades do ambiente, escolha uma das opções a seguir.
Quando você implanta o dispositivo do VMware Cloud Director, o VMware Cloud Director gera automaticamente certificados autoassinados com um tamanho de chave de 2048 bits para o serviço HTTPS e o serviço de proxy do console.
- Se você quiser que sua autoridade de certificação assine os certificados gerados na implantação, pule para a Etapa 5.
- Se você quiser gerar novos certificados com opções personalizadas, como um tamanho de chave maior, vá para a Etapa 3.

Execute o comando para fazer backup dos arquivos de certificado existentes.

cp /opt/vmware/vcloud-director/etc/user.http.pem /opt/vmware/vcloud-director/etc/user.http.pem.original
cp /opt/vmware/vcloud-director/etc/user.http.key /opt/vmware/vcloud-director/etc/user.http.key.original
cp /opt/vmware/vcloud-director/etc/user.consoleproxy.pem /opt/vmware/vcloud-director/etc/user.consoleproxy.pem.original
cp /opt/vmware/vcloud-director/etc/user.consoleproxy.key /opt/vmware/vcloud-director/etc/user.consoleproxy.key.original

Execute os seguintes comandos para criar pares de chaves pública/privada para o serviço HTTPS e para o serviço de proxy do console.
```
/opt/vmware/vcloud-director/bin/cell-management-tool generate-certs --cert /opt/vmware/vcloud-director/etc/user.http.pem --key /opt/vmware/vcloud-director/etc/user.http.key --key-password root-password
/opt/vmware/vcloud-director/bin/cell-management-tool generate-certs --cert /opt/vmware/vcloud-director/etc/user.consoleproxy.pem --key /opt/vmware/vcloud-director/etc/user.consoleproxy.key --key-password root-password
```
Os comandos criam ou substituem o arquivo de certificado usando os valores padrão e criam ou substituem o arquivo de chave privada com as senhas especificadas. Dependendo da configuração de DNS do seu ambiente, o CN (Nome Comum) do emissor é definido como o endereço IP ou o FQDN de cada serviço. O certificado usa o comprimento de chave de 2048 bits padrão e expira um ano após a criação.

Importante: Devido a restrições de configuração no dispositivo do VMware Cloud Director, você deve usar os locais /opt/vmware/vcloud-director/etc/user.http.pem e /opt/vmware/vcloud-director/etc/user.http.key para os arquivos de certificado HTTPS e /opt/vmware/vcloud-director/etc/user.consoleproxy.pem e /opt/vmware/vcloud-director/etc/user.consoleproxy.key para os arquivos de certificado de proxy.

Observação: Você usa a senha root do dispositivo como senhas de chave.
Crie solicitações de assinatura de certificado (CSR) para o serviço HTTPS e para o serviço de proxy do console.

Importante: O dispositivo do VMware Cloud Director compartilha o mesmo endereço IP e nome de host para o serviço HTTPS e o serviço de proxy do console. Por causa disso, os comandos de criação de CSR devem ter o mesmo DNS e IPs para o argumento de extensão do Nome Alternativo da Entidade (SAN).
1. Crie uma solicitação de assinatura de certificado no arquivo http.csr.
```
openssl req -new -key /opt/vmware/vcloud-director/etc/user.http.key -reqexts SAN -config <(cat /etc/ssl/openssl.cnf <(printf "\n[SAN]\nsubjectAltName=DNS:vcd2.example.com,DNS:vcd2,IP:10.100.101.10\n")) -out http.csr
```
2. Crie uma solicitação de assinatura de certificado no arquivo consoleproxy.csr.
```
openssl req -new -key /opt/vmware/vcloud-director/etc/user.consoleproxy.key -reqexts SAN -config <(cat /etc/ssl/openssl.cnf <(printf "\n[SAN]\nsubjectAltName=DNS:vcd2.example.com,DNS:vcd2,IP:10.100.101.10\n")) -out consoleproxy.csr
```
Envie as solicitações de assinatura de certificado para sua Autoridade de Certificação.
Se a sua autoridade de certificação exigir que você especifique um tipo de servidor da Web, use o Tomcat da Jakarta.

Você obtém os certificados assinados pela CA.
Copie os certificados assinados pela CA, o certificado raiz da CA e quaisquer certificados intermediários para o dispositivo do VMware Cloud Director e execute os comandos para substituir os certificados existentes.
1. Execute o comando para substituir o certificado user.http.pem existente no dispositivo com sua versão assinada pela CA.
```
cp ca-signed-http.pem /opt/vmware/vcloud-director/etc/user.http.pem
```
2. Execute o comando para substituir o user.consoleproxy.pem existente no dispositivo com sua versão assinada pela CA.
```
cp ca-signed-consoleproxy.pem /opt/vmware/vcloud-director/etc/user.consoleproxy.pem
```

Execute o comando para anexar o certificado assinado pela CA raiz e quaisquer certificados intermediários ao HTTP e certificados de proxy de console.

cat intermediate-certificate-file-1.cer intermediate-certificate-file-2.cer root-CA-certificate.cer >> /opt/vmware/vcloud-director/etc/user.http.pem
cat intermediate-certificate-file-1.cer intermediate-certificate-file-2.cer root-CA-certificate.cer >> /opt/vmware/vcloud-director/etc/user.consoleproxy.pem

Execute o comando para importar os certificados para a instância do VMware Cloud Director.

/opt/vmware/vcloud-director/bin/cell-management-tool certificates -j --cert /opt/vmware/vcloud-director/etc/user.http.pem --key /opt/vmware/vcloud-director/etc/user.http.key --key-password root_password
/opt/vmware/vcloud-director/bin/cell-management-tool certificates -p --cert /opt/vmware/vcloud-director/etc/user.consoleproxy.pem --key /opt/vmware/vcloud-director/etc/user.consoleproxy.key --key-password root_password

Para que os novos certificados assinados tenham efeito, reinicie o serviço do VMware Cloud Director no dispositivo do vmware-vcd.
1. Execute o comando para interromper o serviço.
```
/opt/vmware/vcloud-director/bin/cell-management-tool cell -i $(service vmware-vcd pid cell) -s
```
2. Execute o comando para iniciar o serviço.
```
systemctl start vmware-vcd
```

O que Fazer Depois

Se você estiver usando certificados curinga, consulte Implantar o dispositivo VMware Cloud Director com certificados curinga assinados para comunicação HTTPS e via proxy de console.
Se você não estiver usando certificados curinga, repita esse procedimento em todos os servidores do VMware Cloud Director no grupo de servidores.
Para obter mais informações sobre como substituir os certificados do banco de dados PostgreSQL incorporado e da interface de usuário de gerenciamento do dispositivo do VMware Cloud Director, consulte Substituir um certificado de interface de usuário de gerenciamento do dispositivo VMware Cloud Director e PostgreSQL incorporado autoassinado.