Criar e importar certificados SSL assinados por CA para o dispositivo do VMware Cloud Director 10.4.1 e posterior

Criar e importar certificados assinados por uma autoridade de certificação (CA) fornece o mais alto nível de confiança para comunicações SSL e ajuda a proteger as conexões dentro da nuvem.

Se você quiser criar e importar certificados SSL assinados pela CA para o VMware Cloud Director 10.4, consulte Criar e importar certificados SSL assinados por CA para o VMware Cloud Director 10.4.

Importante: Na implantação, o dispositivo do VMware Cloud Director gera certificados autoassinados com um tamanho de chave de 2048 bits. Você deve avaliar os requisitos de segurança da instalação antes de escolher um tamanho de chave apropriado. Tamanhos de chaves menores que 1024 bits não são mais suportados pelo NIST Special Publication 800-131A.

A senha da chave privada usada neste procedimento é a senha do usuário root e é representada como root_password.

A partir do VMware Cloud Director 10.4, o tráfego de proxy do console e as comunicações HTTPS passam pela porta 443 padrão.

Observação: O VMware Cloud Director 10.4.1 e posterior não oferece suporte à implementação herdada do recurso de proxy do console.

Pré-requisitos

Para verificar se o procedimento relevante para as necessidades do seu ambiente, familiarize-se com o Criação e gerenciamento de certificado SSL do dispositivo do VMware Cloud Director.

Procedimento

Faça login diretamente ou usando um cliente SSH no console do dispositivo do VMware Cloud Director como root.
Dependendo das necessidades do ambiente, escolha uma das opções a seguir.
Quando você implanta o dispositivo do VMware Cloud Director, o VMware Cloud Director gera automaticamente certificados autoassinados com um tamanho de chave de 2048 bits para o serviço HTTPS e o serviço de proxy do console.
- Se você quiser que sua autoridade de certificação assine os certificados gerados na implantação, pule para a Etapa 5.
- Se você quiser gerar novos certificados com opções personalizadas, como um tamanho de chave maior, vá para a Etapa 3.

Execute o comando para fazer backup dos arquivos de certificado existentes.

cp /opt/vmware/vcloud-director/etc/user.http.pem /opt/vmware/vcloud-director/etc/user.http.pem.original
cp /opt/vmware/vcloud-director/etc/user.http.key /opt/vmware/vcloud-director/etc/user.http.key.original

Execute os seguintes comandos para criar pares de chaves públicas e privadas para o serviço HTTPS.
```
/opt/vmware/vcloud-director/bin/cell-management-tool generate-certs --cert /opt/vmware/vcloud-director/etc/user.http.pem --key /opt/vmware/vcloud-director/etc/user.http.key --key-password root-password
```
Os comandos criam ou substituem o arquivo de certificado usando os valores padrão e criam ou substituem o arquivo de chave privada com as senhas especificadas. Dependendo da configuração de DNS do seu ambiente, o CN (Nome Comum) do emissor é definido como o endereço IP ou o FQDN de cada serviço. O certificado usa o comprimento de chave de 2048 bits padrão e expira um ano após a criação.

Importante: Devido às restrições de configuração no dispositivo do VMware Cloud Director, você deve usar as localizações /opt/vmware/vcloud-director/etc/user.http.pem e /opt/vmware/vcloud-director/etc/user.http.key para os arquivos de certificado HTTPS.

Observação: Você usa a senha root do dispositivo como senhas de chave.

Crie solicitações de assinatura de certificado (CSR) para o serviço HTTPS no arquivo http.csr.

openssl req -new -key /opt/vmware/vcloud-director/etc/user.http.key -reqexts SAN -config <(cat /etc/ssl/openssl.cnf <(printf "\n[SAN]\nsubjectAltName=DNS:vcd2.example.com,DNS:vcd2,IP:10.100.101.10\n")) -out http.csr

Envie as solicitações de assinatura de certificado para sua Autoridade de Certificação.
Se a sua autoridade de certificação exigir que você especifique um tipo de servidor da Web, use o Tomcat da Jakarta.

Você obtém os certificados assinados pela CA.
Copie os certificados assinados pela CA, o certificado raiz da CA e quaisquer certificados intermediários para o dispositivo do VMware Cloud Director e execute o comando para substituir o certificado user.http.pem existente no dispositivo pela sua versão assinada pela CA.
```
cp ca-signed-http.pem /opt/vmware/vcloud-director/etc/user.http.pem
```
Para anexar o certificado assinado pela CA raiz e quaisquer certificados intermediários ao HTTP e certificados de proxy de console, execute o seguinte comando.
```
cat intermediate-certificate-file-1.cer intermediate-certificate-file-2.cer root-CA-certificate.cer >> /opt/vmware/vcloud-director/etc/user.http.pem
```

Para importar os certificados para a instância do VMware Cloud Director, execute o seguinte comando.

/opt/vmware/vcloud-director/bin/cell-management-tool certificates -j --cert /opt/vmware/vcloud-director/etc/user.http.pem --key /opt/vmware/vcloud-director/etc/user.http.key --key-password root_password

Para que os novos certificados assinados tenham efeito, reinicie o serviço do VMware Cloud Director no dispositivo do vmware-vcd.
1. Execute o comando para interromper o serviço.
```
/opt/vmware/vcloud-director/bin/cell-management-tool cell -i $(service vmware-vcd pid cell) -s
```
2. Execute o comando para iniciar o serviço.
```
systemctl start vmware-vcd
```

O que Fazer Depois

Se você estiver usando certificados curinga, siga o procedimento Implantar o dispositivo do VMware Cloud Director 10.4.1 e posterior com um certificado curinga assinado para comunicação HTTPS para que todas as instâncias futuras do dispositivo que você adicionar ao cluster usem os mesmos certificados curinga assinados.
Repita esse procedimento em todas as instâncias do dispositivo VMware Cloud Director no grupo de servidores.
Para obter mais informações sobre como substituir os certificados do banco de dados PostgreSQL incorporado e da interface de usuário de gerenciamento do dispositivo do VMware Cloud Director, consulte Substituir um certificado de interface de usuário de gerenciamento do dispositivo VMware Cloud Director e PostgreSQL incorporado autoassinado.