Criar e importar certificados assinados por uma autoridade de certificação (CA) fornece o mais alto nível de confiança para comunicações SSL e ajuda a proteger as conexões dentro da nuvem.
Se você quiser criar e importar certificados SSL assinados pela CA para o VMware Cloud Director 10.4, consulte Criar e importar certificados SSL assinados por CA para o VMware Cloud Director 10.4.
Importante: Na implantação, o dispositivo do
VMware Cloud Director gera certificados autoassinados com um tamanho de chave de 2048 bits. Você deve avaliar os requisitos de segurança da instalação antes de escolher um tamanho de chave apropriado. Tamanhos de chaves menores que 1024 bits não são mais suportados pelo NIST Special Publication 800-131A.
A senha da chave privada usada neste procedimento é a senha do usuário root e é representada como root_password.
A partir do VMware Cloud Director 10.4, o tráfego de proxy do console e as comunicações HTTPS passam pela porta 443 padrão.
Observação: O
VMware Cloud Director 10.4.1 e posterior não oferece suporte à implementação herdada do recurso de proxy do console.
Procedimento
- Faça login diretamente ou usando um cliente SSH no console do dispositivo do VMware Cloud Director como root.
- Dependendo das necessidades do ambiente, escolha uma das opções a seguir.
Quando você implanta o dispositivo do
VMware Cloud Director, o
VMware Cloud Director gera automaticamente certificados autoassinados com um tamanho de chave de 2048 bits para o serviço HTTPS e o serviço de proxy do console.
- Se você quiser que sua autoridade de certificação assine os certificados gerados na implantação, pule para a Etapa 5.
- Se você quiser gerar novos certificados com opções personalizadas, como um tamanho de chave maior, vá para a Etapa 3.
- Execute o comando para fazer backup dos arquivos de certificado existentes.
cp /opt/vmware/vcloud-director/etc/user.http.pem /opt/vmware/vcloud-director/etc/user.http.pem.original
cp /opt/vmware/vcloud-director/etc/user.http.key /opt/vmware/vcloud-director/etc/user.http.key.original
- Execute os seguintes comandos para criar pares de chaves públicas e privadas para o serviço HTTPS.
/opt/vmware/vcloud-director/bin/cell-management-tool generate-certs --cert /opt/vmware/vcloud-director/etc/user.http.pem --key /opt/vmware/vcloud-director/etc/user.http.key --key-password root-password
Os comandos criam ou substituem o arquivo de certificado usando os valores padrão e criam ou substituem o arquivo de chave privada com as senhas especificadas. Dependendo da configuração de DNS do seu ambiente, o CN (Nome Comum) do emissor é definido como o endereço IP ou o FQDN de cada serviço. O certificado usa o comprimento de chave de 2048 bits padrão e expira um ano após a criação.
Importante: Devido às restrições de configuração no dispositivo do
VMware Cloud Director, você deve usar as localizações
/opt/vmware/vcloud-director/etc/user.http.pem e
/opt/vmware/vcloud-director/etc/user.http.key para os arquivos de certificado HTTPS.
Observação: Você usa a senha
root do dispositivo como senhas de chave.
- Crie solicitações de assinatura de certificado (CSR) para o serviço HTTPS no arquivo http.csr.
openssl req -new -key /opt/vmware/vcloud-director/etc/user.http.key -reqexts SAN -config <(cat /etc/ssl/openssl.cnf <(printf "\n[SAN]\nsubjectAltName=DNS:vcd2.example.com,DNS:vcd2,IP:10.100.101.10\n")) -out http.csr
- Envie as solicitações de assinatura de certificado para sua Autoridade de Certificação.
Se a sua autoridade de certificação exigir que você especifique um tipo de servidor da Web, use o Tomcat da Jakarta.
Você obtém os certificados assinados pela CA.
- Copie os certificados assinados pela CA, o certificado raiz da CA e quaisquer certificados intermediários para o dispositivo do VMware Cloud Director e execute o comando para substituir o certificado
user.http.pem
existente no dispositivo pela sua versão assinada pela CA.
cp ca-signed-http.pem /opt/vmware/vcloud-director/etc/user.http.pem
- Para anexar o certificado assinado pela CA raiz e quaisquer certificados intermediários ao HTTP e certificados de proxy de console, execute o seguinte comando.
cat intermediate-certificate-file-1.cer intermediate-certificate-file-2.cer root-CA-certificate.cer >> /opt/vmware/vcloud-director/etc/user.http.pem
- Para importar os certificados para a instância do VMware Cloud Director, execute o seguinte comando.
/opt/vmware/vcloud-director/bin/cell-management-tool certificates -j --cert /opt/vmware/vcloud-director/etc/user.http.pem --key /opt/vmware/vcloud-director/etc/user.http.key --key-password root_password
- Para que os novos certificados assinados tenham efeito, reinicie o serviço do VMware Cloud Director no dispositivo do
vmware-vcd
.
- Execute o comando para interromper o serviço.
/opt/vmware/vcloud-director/bin/cell-management-tool cell -i $(service vmware-vcd pid cell) -s
- Execute o comando para iniciar o serviço.
systemctl start vmware-vcd