Criar e importar certificados assinados por uma autoridade de certificação (CA) fornece o mais alto nível de confiança para comunicações SSL e ajuda a proteger as conexões dentro da nuvem. O procedimento para a versão 10.4 inclui as configurações de proxy do console.

Se você quiser criar e importar certificados SSL assinados pela CA para o VMware Cloud Director 10.4.1 ou posterior, consulte Criar e importar certificados SSL assinados por CA para o dispositivo do VMware Cloud Director 10.4.1 e posterior.

Importante: Na implantação, o dispositivo do VMware Cloud Director gera certificados autoassinados com um tamanho de chave de 2048 bits. Você deve avaliar os requisitos de segurança da instalação antes de escolher um tamanho de chave apropriado. Tamanhos de chaves menores que 1024 bits não são mais suportados pelo NIST Special Publication 800-131A.

A senha da chave privada usada neste procedimento é a senha do usuário root e é representada como root_password.

A partir do VMware Cloud Director 10.4, o tráfego de proxy do console e as comunicações HTTPS passam pela porta 443 padrão.

Observação: O VMware Cloud Director 10.4.1 e posterior não oferece suporte à implementação herdada do recurso de proxy do console.

Para o VMware Cloud Director 10.4, você pode habilitar o recurso LegacyConsoleProxy no menu de configurações Sinalizadores de Recurso na guia Administração. Ao ativar o LegacyConsoleProxy, cada célula do VMware Cloud Director deve suportar dois endpoints SSL diferentes, um para HTTPS e outro para comunicações de proxy do console.

Esse procedimento contém configurações de proxy do console porque o dispositivo do VMware Cloud Director 10.4 deve oferecer suporte à ativação opcional do recurso LegacyConsoleProxy.

Pré-requisitos

Para verificar se o procedimento relevante para as necessidades do seu ambiente, familiarize-se com o Criação e gerenciamento de certificado SSL do dispositivo do VMware Cloud Director.

Procedimento

  1. Faça login diretamente ou usando um cliente SSH no console do dispositivo do VMware Cloud Director como root.
  2. Dependendo das necessidades do ambiente, escolha uma das opções a seguir.
    Quando você implanta o dispositivo do VMware Cloud Director, o VMware Cloud Director gera automaticamente certificados autoassinados com um tamanho de chave de 2048 bits para o serviço HTTPS e o serviço de proxy do console.
    • Se você quiser que sua autoridade de certificação assine os certificados gerados na implantação, pule para a Etapa 5.
    • Se você quiser gerar novos certificados com opções personalizadas, como um tamanho de chave maior, vá para a Etapa 3.
  3. Execute o comando para fazer backup dos arquivos de certificado existentes. 
    cp /opt/vmware/vcloud-director/etc/user.http.pem /opt/vmware/vcloud-director/etc/user.http.pem.original
cp /opt/vmware/vcloud-director/etc/user.http.key /opt/vmware/vcloud-director/etc/user.http.key.original
cp /opt/vmware/vcloud-director/etc/user.consoleproxy.pem /opt/vmware/vcloud-director/etc/user.consoleproxy.pem.original
cp /opt/vmware/vcloud-director/etc/user.consoleproxy.key /opt/vmware/vcloud-director/etc/user.consoleproxy.key.original
  4. Execute os seguintes comandos para criar pares de chaves pública/privada para o serviço HTTPS e para o serviço de proxy do console. 
    /opt/vmware/vcloud-director/bin/cell-management-tool generate-certs --cert /opt/vmware/vcloud-director/etc/user.http.pem --key /opt/vmware/vcloud-director/etc/user.http.key --key-password root-password
/opt/vmware/vcloud-director/bin/cell-management-tool generate-certs --cert /opt/vmware/vcloud-director/etc/user.consoleproxy.pem --key /opt/vmware/vcloud-director/etc/user.consoleproxy.key --key-password root-password

    Os comandos criam ou substituem o arquivo de certificado usando os valores padrão e criam ou substituem o arquivo de chave privada com as senhas especificadas. Dependendo da configuração de DNS do seu ambiente, o CN (Nome Comum) do emissor é definido como o endereço IP ou o FQDN de cada serviço. O certificado usa o comprimento de chave de 2048 bits padrão e expira um ano após a criação.

    Importante: Devido a restrições de configuração no dispositivo do VMware Cloud Director, você deve usar os locais /opt/vmware/vcloud-director/etc/user.http.pem e /opt/vmware/vcloud-director/etc/user.http.key para os arquivos de certificado HTTPS e /opt/vmware/vcloud-director/etc/user.consoleproxy.pem e /opt/vmware/vcloud-director/etc/user.consoleproxy.key para os arquivos de certificado de proxy.
    Observação: Você usa a senha root do dispositivo como senhas de chave.
  5. Crie solicitações de assinatura de certificado (CSR) para o serviço HTTPS e para o serviço de proxy do console.
    Importante: O dispositivo do VMware Cloud Director compartilha o mesmo endereço IP e nome de host para o serviço HTTPS e o serviço de proxy do console. Por causa disso, os comandos de criação de CSR devem ter o mesmo DNS e IPs para o argumento de extensão do Nome Alternativo da Entidade (SAN).
    1. Crie uma solicitação de assinatura de certificado no arquivo http.csr. 
      openssl req -new -key /opt/vmware/vcloud-director/etc/user.http.key -reqexts SAN -config <(cat /etc/ssl/openssl.cnf <(printf "\n[SAN]\nsubjectAltName=DNS:vcd2.example.com,DNS:vcd2,IP:10.100.101.10\n")) -out http.csr
    2. Crie uma solicitação de assinatura de certificado no arquivo consoleproxy.csr. 
      openssl req -new -key /opt/vmware/vcloud-director/etc/user.consoleproxy.key -reqexts SAN -config <(cat /etc/ssl/openssl.cnf <(printf "\n[SAN]\nsubjectAltName=DNS:vcd2.example.com,DNS:vcd2,IP:10.100.101.10\n")) -out consoleproxy.csr
  6. Envie as solicitações de assinatura de certificado para sua Autoridade de Certificação.
    Se a sua autoridade de certificação exigir que você especifique um tipo de servidor da Web, use o Tomcat da Jakarta.
    Você obtém os certificados assinados pela CA.
  7. Copie os certificados assinados pela CA, o certificado raiz da CA e quaisquer certificados intermediários para o dispositivo do VMware Cloud Director e execute os comandos para substituir os certificados existentes.
    1. Execute o comando para substituir o certificado user.http.pem existente no dispositivo com sua versão assinada pela CA. 
      cp ca-signed-http.pem /opt/vmware/vcloud-director/etc/user.http.pem
    2. Execute o comando para substituir o user.consoleproxy.pem existente no dispositivo com sua versão assinada pela CA. 
      cp ca-signed-consoleproxy.pem /opt/vmware/vcloud-director/etc/user.consoleproxy.pem
  8. Para anexar o certificado assinado pela CA raiz e quaisquer certificados intermediários ao HTTP e certificados de proxy de console, execute o seguinte comando. 
    cat intermediate-certificate-file-1.cer intermediate-certificate-file-2.cer root-CA-certificate.cer >> /opt/vmware/vcloud-director/etc/user.http.pem
cat intermediate-certificate-file-1.cer intermediate-certificate-file-2.cer root-CA-certificate.cer >> /opt/vmware/vcloud-director/etc/user.consoleproxy.pem
  9. Para importar os certificados para a instância do VMware Cloud Director, execute o seguinte comando. 
    /opt/vmware/vcloud-director/bin/cell-management-tool certificates -j --cert /opt/vmware/vcloud-director/etc/user.http.pem --key /opt/vmware/vcloud-director/etc/user.http.key --key-password root_password
/opt/vmware/vcloud-director/bin/cell-management-tool certificates -p --cert /opt/vmware/vcloud-director/etc/user.consoleproxy.pem --key /opt/vmware/vcloud-director/etc/user.consoleproxy.key --key-password root_password
  10. Para que os novos certificados assinados tenham efeito, reinicie o serviço do VMware Cloud Director no dispositivo do vmware-vcd.
    1. Execute o comando para interromper o serviço. 
      /opt/vmware/vcloud-director/bin/cell-management-tool cell -i $(service vmware-vcd pid cell) -s
    2. Execute o comando para iniciar o serviço. 
      systemctl start vmware-vcd

O que Fazer Depois