使用单元管理工具的 generate-certs 命令为 HTTPS 和控制台代理端点生成自签名 SSL 证书。
每个 VMware Cloud Director 服务器组必须支持两个 SSL 端点:一个用于 HTTPS 服务,另一个用于控制台代理服务。HTTPS 服务端点支持 VMware Cloud Director Service Provider Admin Portal、 VMware Cloud Director Tenant Portal 和 VMware Cloud Director API。远程控制台代理端点支持 VMRC 连接到 vApp 和虚拟机。
单元管理工具中的 generate-certs 命令可自动执行在 Linux 上为 VMware Cloud Director 创建自签名 SSL 证书过程。
要生成新的自签名 SSL 证书,请使用以下形式的命令行:
cell-management-tool generate-certs options
| 选项 | 参数 | 描述 |
|---|---|---|
| --help (-h) | 无 | 提供此类别中可用命令的摘要。 |
| --expiration (-x) | days-until-expiration | 证书过期前的天数。默认值为 365 |
| --issuer (-i) | name=value [, name=value, ...] | 证书颁发者的 X.509 可分辨名称。默认值为 CN=FQDN。其中 FQDN 是该单元的完全限定域名或其 IP 地址(如果没有可用的完全限定域名)。如果指定多个属性/值对,请用逗号分隔它们,并将整个参数置于引号内。 |
| --key-size (-s) | key-size | 表示为整数位数的键对大小。默认值为 2048。根据 NIST 特殊出版物 800-131A,不再支持小于 1024 的密钥大小。 |
| --key-password | key-password | 生成的私钥的密码。 |
| --cert | cert | 生成的证书文件的路径。 |
| --key | 键 | 生成的私钥文件的路径。 |
创建自签名证书
这两个示例均假定 /tmp/cell.pem 下具有证书文件且 /tmp/cell.key 下具有相应的私钥文件,且密码为 kpw。如果这些文件尚不存在,则会进行创建。
此示例使用默认值创建新证书。颁发者名称设置为
CN=Unknown。证书使用默认的 2048 位密钥长度,并在创建 1 年后过期。
[root@cell1 /opt/vmware/vcloud-director/bin]# ./cell-management-tool generate-certs --cert /tmp/cell.pem --key /tmp/cell.key --key-password kpw New certificate created and written to /tmp/cell.pem New private key created and written to /tmp/cell.key
此示例为密钥大小和颁发者名称指定自定义值。颁发者名称设置为
CN=Test, L=London, C=GB。HTTPS 连接的新证书具有一个 4096 位密钥,在创建 90 天后过期。
[root@cell1 /opt/vmware/vcloud-director/bin]# ./cell-management-tool generate-certs --cert /tmp/cell.pem --key /tmp/cell.key --key-password kpw -i "CN=Test, L=London, C=GB" -s 4096 -x 90 New certificate created and written to /tmp/cell.pem New private key created and written to /tmp/cell.key
重要说明: 证书和私钥文件及其存储目录必须可由用户
vcloud.vcloud 读取。
VMware Cloud Director 安装程序将创建此用户和组。
