Implantar o dispositivo do VMware Cloud Director 10.4 com um certificado curinga assinado para comunicação HTTPS

Você pode implantar o dispositivo VMware Cloud Director com certificados curinga assinados. Você pode usar esses certificados para proteger um número ilimitado de servidores que são subdomínios do nome de domínio listado no certificado. O procedimento para a versão 10.4 inclui as configurações de proxy do console.

Se você quiser implantar o dispositivo do VMware Cloud Director 10.4.1 ou posterior, consulte Implantar o dispositivo do VMware Cloud Director 10.4.1 e posterior com um certificado curinga assinado para comunicação HTTPS.

Por padrão, ao implantar dispositivos do VMware Cloud Director, o VMware Cloud Director gera certificados autoassinados e os utiliza para configurar a célula do VMware Cloud Director para comunicação HTTPS.

A partir do VMware Cloud Director 10.4, o tráfego de proxy do console e as comunicações HTTPS passam pela porta 443 padrão. Você não precisa de um certificado separado para o proxy do console.

Observação: O VMware Cloud Director 10.4.1 e posterior não oferece suporte à implementação herdada do recurso de proxy do console.

Quando você implanta um dispositivo primário com êxito, a lógica de configuração do dispositivo copia o arquivo responses.properties do dispositivo primário para o armazenamento do serviço de transferência compartilhada NFS comum em /opt/vmware/vcloud-director/data/transfer. Outros dispositivos implantados para esse grupo de servidores do VMware Cloud Director usam esse arquivo para se configurarem automaticamente. O arquivo responses.properties inclui um caminho para o certificado SSL e a chave privada, que inclui os certificados autoassinados gerados automaticamente user.certificate.path, a chave privada user.key.path, certificados de proxy do console user.consoleproxy.certificate.path e a chave privada de proxy do console user.consoleproxy.key.path. Por padrão, esses caminhos são para arquivos PEM que são locais para cada dispositivo.

Observação: A senha de chave que você usa para os certificados deve corresponder à senha raiz inicial usada ao implantar todos os dispositivos.

Depois de implantar o dispositivo primário, você pode reconfigurá-lo para usar certificados assinados. Para obter mais informações sobre como criar os certificados assinados, consulte Criar e importar certificados SSL assinados por CA para o dispositivo do VMware Cloud Director 10.4.1 e posterior.

Se os certificados assinados que você usar no dispositivo primário VMware Cloud Director forem certificados curinga assinados, eles poderão ser aplicados a todos os outros dispositivos no grupo de servidores do VMware Cloud Director, ou seja, células em espera e células de aplicativo do VMware Cloud Director. Você pode usar a implantação do dispositivo com certificados curinga assinados para comunicação HTTPS e via proxy de console, para configurar as células adicionais com os certificados SSL curinga assinados.

Pré-requisitos

Para verificar se o procedimento relevante para as necessidades do seu ambiente, familiarize-se com o Criação e gerenciamento de certificado SSL do dispositivo do VMware Cloud Director.

Procedimento

Copie os arquivos user.http.pem, user.http.key, user.consoleproxy.pem e user.consoleproxy.key do dispositivo primário para o compartilhamento de transferência em /opt/vmware/vcloud-director/data/transfer/.

Altere as permissões do proprietário e grupo nos arquivos de certificado para vcloud.

chown vcloud.vcloud /opt/vmware/vcloud-director/data/transfer/user.http.pem
chown vcloud.vcloud /opt/vmware/vcloud-director/data/transfer/user.http.key
chown vcloud.vcloud /opt/vmware/vcloud-director/data/transfer/user.consoleproxy.pem
chown vcloud.vcloud /opt/vmware/vcloud-director/data/transfer/user.consoleproxy.key

Verifique se o proprietário dos arquivos de certificado tem permissões de leitura e gravação.

chmod 0750 /opt/vmware/vcloud-director/data/transfer/user.http.pem
chmod 0750 /opt/vmware/vcloud-director/data/transfer/user.http.key
chmod 0750 /opt/vmware/vcloud-director/data/transfer/user.consoleproxy.pem
chmod 0750 /opt/vmware/vcloud-director/data/transfer/user.consoleproxy.key

No dispositivo primário, execute o comando para importar os novos certificados assinados para a instância do VMware Cloud Director.

Esses comandos também atualizam o arquivo responses.properties no compartilhamento de transferência, modificando as variáveis user.certificate.path, user.key.path, user.consoleproxy.certificate.path e user.consoleproxy.key.path para apontar para os arquivos de certificado no compartilhamento de transferência.

/opt/vmware/vcloud-director/bin/cell-management-tool certificates -j --cert /opt/vmware/vcloud-director/data/transfer/user.http.pem --key /opt/vmware/vcloud-director/data/transfer/user.http.key --key-password root-password
/opt/vmware/vcloud-director/bin/cell-management-tool certificates -p --cert /opt/vmware/vcloud-director/data/transfer/user.consoleproxy.pem --key /opt/vmware/vcloud-director/data/transfer/user.consoleproxy.key --key-password root-password

Para que os novos certificados assinados tenham efeito, reinicie o serviço vmware-vcd no dispositivo primário.
1. Execute o comando para interromper o serviço.
```
/opt/vmware/vcloud-director/bin/cell-management-tool cell -i $(service vmware-vcd pid cell) -s
```
2. Execute o comando para iniciar o serviço.
```
systemctl start vmware-vcd
```
Implante a célula em espera e os dispositivos de células de aplicativo usando a senha raiz inicial que corresponde à senha da chave.

Resultados

Todos os dispositivos recém-instalados que usam o mesmo armazenamento do serviço de transferência compartilhado NFS são configurados com os mesmos certificados SSL curinga assinados que são usados pelo dispositivo primário.