Criar e importar certificados SSL assinados por CA para o VMware Cloud Director no Linux

Criar e importar certificados assinados pela autoridade de certificação fornece o mais alto nível de confiança para comunicações SSL e ajuda a proteger as conexões na infraestrutura da sua nuvem.

A partir do VMware Cloud Director 10.4, o tráfego de proxy do console e as comunicações HTTPS passam pela porta 443 padrão. Você não precisa de um certificado separado para o proxy do console.

Observação: O VMware Cloud Director 10.4.1 e posterior não oferece suporte à implementação herdada do recurso de proxy do console.

Para o VMware Cloud Director 10.4, se você quiser usar a implementação herdada com um ponto de acesso de proxy de console dedicado, poderá ativar o recurso LegacyConsoleProxy no menu de configurações de Sinalizadores de Recurso na guia Administração do Service Provider Admin Portal. Para habilitar o recurso LegacyConsoleProxy, sua instalação ou implantação deve ter as configurações de proxy do console configuradas em uma versão anterior e transferidas por meio de um upgrade do VMware Cloud Director. Depois de ativar ou desativar o recurso, você deverá reiniciar as células. Ao ativar a implementação de proxy do console herdado, o proxy do console deverá ter um certificado separado. Consulte a versão do VMware Cloud Director 10.3 deste documento.

O certificado para o endpoint HTTPS deve incluir um nome distinto X.500 e uma extensão de Nome Alternativo de Requerente X.509.

Você pode usar um certificado assinado por uma autoridade de certificação confiável (CA) ou um certificado autoassinado.

Use o cell-management-tool para criar o certificado SSL autoassinado. O utilitário do cell-management-tool é instalado na célula antes que o agente de configuração seja executado e depois que você executar o arquivo de instalação. Consulte Instalar o VMware Cloud Director no primeiro membro de um grupo de servidores.

Importante: Esses exemplos especificam um tamanho de chave de 2048 bits, mas você deve avaliar os requisitos de segurança da instalação antes de escolher um tamanho de chave apropriado. Tamanhos de chaves menores que 1024 bits não são mais suportados pelo NIST Special Publication 800-131A.

Pré-requisitos

Baixe e instale o OpenSSL.
Para obter mais detalhes sobre as opções disponíveis para o comando generate-certs, consulte Gerando certificados autoassinados para os endpoints de proxy do console e HTTPS.
Para obter mais detalhes sobre as opções disponíveis para o comando certificates, consulte Substituir certificados para o endpoint HTTPS.

Procedimento

Faça login diretamente ou usando um cliente SSH no sistema operacional da célula de servidor do VMware Cloud Director como root.
Dependendo das necessidades do ambiente, escolha uma das opções a seguir.
- Se tiver sua própria chave privada e arquivos de certificado assinados por CA, pule para a Etapa 6.
- Se você quiser gerar novos certificados com opções personalizadas, como um tamanho de chave maior, continue na Etapa 3.
Para criar um par de chaves pública e privada para o serviço HTTPS, execute o seguinte comando.
```
/opt/vmware/vcloud-director/bin/cell-management-tool generate-certs --cert cert.pem --key cert.key --key-password key_password
```
O comando cria ou substitui um arquivo de certificado em cert.pem e o arquivo de chave privada em cert.key pela senha especificada. Os certificados são criados usando os valores padrão do comando. Dependendo da configuração de DNS do seu ambiente, o CN do emissor é definido como o endereço IP ou o FQDN de cada serviço. O certificado usa o comprimento de chave de 2048 bits padrão e expira um ano após a criação.

Importante: O arquivo de certificado, o arquivo de chave privada e o diretório no qual eles estão armazenados devem ser legíveis pelo usuário vcloud.vcloud. O VMware Cloud Director e o diretório no qual ele é armazenado devem ser legíveis pelo usuário vcloud.vcloud. O instalador do VMware Cloud Director cria esse usuário e grupo.

Crie uma solicitação de assinatura de certificado no arquivo cert.csr.

openssl req -new -key cert.key -reqexts SAN -config <(cat /etc/ssl/openssl.cnf <(printf "\n[SAN]\nsubjectAltName=DNS:vcd2.example.com,DNS:vcd2,IP:10.100.101.10\n")) -out cert.csr

Envie as solicitações de assinatura de certificado para sua Autoridade de Certificação.
Se a sua autoridade de certificação exigir que você especifique um tipo de servidor da Web, use o Tomcat da Jakarta.

Você obtém os certificados assinados pela CA.
Execute o comando para anexar o certificado assinado pela CA raiz e quaisquer certificados intermediários ao certificado gerado na Etapa 2.
```
cat intermediate-certificate-file-1.cer intermediate-certificate-file-2.cer root-CA-certificate.cer >> cert.pem
```
Repita esse procedimento em todos os servidores do VMware Cloud Director no grupo de servidores.

O que Fazer Depois

Se você ainda não tiver configurado sua instância do VMware Cloud Director, execute o script configure para importar os certificados para o VMware Cloud Director. Consulte Configurar as conexões de rede e banco de dados.

Observação: Se você tiver criado os arquivos de certificado cert.pem ou cert.key em um computador diferente do servidor no qual gerou a lista de nomes de domínio totalmente qualificados e seus endereços IP associados, copie os arquivos cert.pem e cert.key para esse servidor agora. Você precisará dos nomes do certificado e do caminho da chave privada ao executar o script de configuração.
Se você já tiver instalado e configurado sua instância do VMware Cloud Director, use o comando certificates da ferramenta de gerenciamento de células para importar os certificados. Consulte Substituir certificados para o endpoint HTTPS.