Se você tiver sua própria chave privada e arquivos de certificado assinados por CA, importá-los para o seu ambiente do VMware Cloud Director fornecerá o mais alto nível de confiança para comunicações SSL e ajudará a proteger as conexões na sua infraestrutura em nuvem. O procedimento para a versão 10.4 inclui as configurações de proxy do console.

Se você quiser importar chaves privadas e certificados assinados pela CA para o dispositivo do VMware Cloud Director 10.4.1 ou posterior, consulte Importar chaves privadas e certificados SSL assinados pela CA para o dispositivo do VMware Cloud Director 10.4.1 e posterior.

A partir do VMware Cloud Director 10.4, o tráfego de proxy do console e as comunicações HTTPS passam pela porta 443 padrão. Você não precisa de um certificado separado para o proxy do console.

Observação: O VMware Cloud Director 10.4.1 e posterior não oferece suporte à implementação herdada do recurso de proxy do console.

Se você quiser usar a implementação herdada com um ponto de acesso de proxy de console dedicado do VMware Cloud Director 10.4, poderá habilitar o recurso LegacyConsoleProxy no menu de configurações de Sinalizadores de Recurso na guia Administração do Service Provider Admin Portal. Para habilitar o recurso LegacyConsoleProxy, sua instalação ou implantação deve ter as configurações de proxy do console configuradas em uma versão anterior e transferidas por meio de um upgrade do VMware Cloud Director. Depois de ativar ou desativar o recurso, você deverá reiniciar as células. Ao ativar a implementação de proxy do console herdado, o proxy do console deverá ter um certificado separado.

Pré-requisitos

  • Para verificar se o procedimento relevante para as necessidades do seu ambiente, familiarize-se com o Criação e gerenciamento de certificado SSL do dispositivo do VMware Cloud Director.

  • Copie os certificados intermediários, o certificado de CA raiz e o certificado de serviço HTTPS assinado pela CA para o dispositivo.
  • Se a implementação de proxy do console herdado estiver habilitada, consulte a versão do VMware Cloud Director deste documento.

Procedimento

  1. Faça login diretamente ou usando um cliente SSH no console do dispositivo do VMware Cloud Director como root.
  2. Faça backup dos arquivos de certificado existentes.
    Opção Descrição
    Se o seu ambiente foi feito upgrade do VMware Cloud Director 10.2.
    1. Anote os caminhos existentes de arquivo de certificado http e consoleproxy de /opt/vmware/vcloud-director/etc/global.properties usando as propriedades de user.http.pem, user.http.key, user.consoleproxy.pem e user.consoleproxy.key.
    2. Para fazer backup dos arquivos de certificado existentes, use os caminhos da etapa 2a para executar os seguintes comandos.
      cp path_to_the_user.http.pem /opt/vmware/vcloud-director/etc/user.http.pem.original
      cp path_to_the_user.http.key /opt/vmware/vcloud-director/etc/user.http.key.original
      cp path_to_the_user.consoleproxy.pem /opt/vmware/vcloud-director/etc/user.consoleproxy.pem.original
      cp path_to_the_user.consoleproxy.key /opt/vmware/vcloud-director/etc/user.consoleproxy.key.original
    Se o seu ambiente foi feito upgrade do VMware Cloud Director 10.3 ou é uma nova implantação. Para fazer backup dos arquivos de certificado existentes, execute os seguintes comandos.
    cp /opt/vmware/vcloud-director/etc/user.http.pem /opt/vmware/vcloud-director/etc/user.http.pem.original
    cp /opt/vmware/vcloud-director/etc/user.http.key /opt/vmware/vcloud-director/etc/user.http.key.original
    cp /opt/vmware/vcloud-director/etc/user.consoleproxy.pem /opt/vmware/vcloud-director/etc/user.consoleproxy.pem.original
    cp /opt/vmware/vcloud-director/etc/user.consoleproxy.key /opt/vmware/vcloud-director/etc/user.consoleproxy.key.original
  3. Copie e substitua os arquivos de chave e certificado que você deve importar em /opt/vmware/vcloud-director/etc/user.http.pem, /opt/vmware/vcloud-director/etc/user.http.key, /opt/vmware/vcloud-director/etc/user.consoleproxy.pem e /opt/vmware/vcloud-director/etc/user.consoleproxy.key.
  4. Se tiver certificados intermediários, para anexar o certificado assinado pela CA raiz e quaisquer certificados intermediários ao HTTP e certificados de proxy de console, execute o seguinte comando.
    cat intermediate-certificate-file-1.cer intermediate-certificate-file-2.cer root-CA-certificate.cer >> /opt/vmware/vcloud-director/etc/user.http.pem
    
    cat intermediate-certificate-file-1.cer intermediate-certificate-file-2.cer root-CA-certificate.cer >> /opt/vmware/vcloud-director/etc/user.consoleproxy.pem

    Em que intermediate-certificate-file-1.cer e intermediate-certificate-file-2.cer são os nomes de certificados intermediários e root-CA-certificate.cer é o nome do certificado assinado pela CA raiz.

  5. Execute o comando para importar os certificados assinados para a instância do VMware Cloud Director.
    /opt/vmware/vcloud-director/bin/cell-management-tool certificates -j --cert /opt/vmware/vcloud-director/etc/user.http.pem --key /opt/vmware/vcloud-director/etc/user.http.key --key-password imported_key_password
    /opt/vmware/vcloud-director/bin/cell-management-tool certificates -p --cert /opt/vmware/vcloud-director/etc/user.consoleproxy.pem --key /opt/vmware/vcloud-director/etc/user.consoleproxy.key --key-password imported_key_password
  6. Para que os certificados assinados pela CA tenham efeito, reinicie o serviço do VMware Cloud Director no dispositivo do vmware-vcd.
    1. Execute o comando para interromper o serviço.
      /opt/vmware/vcloud-director/bin/cell-management-tool cell -i $(service vmware-vcd pid cell) -s
    2. Execute o comando para iniciar o serviço.
      systemctl start vmware-vcd

O que Fazer Depois