可以使用签名通配符证书部署 VMware Cloud Director 设备。可以使用这些证书保护属于证书中所列域名的子域的无限个服务器。

默认情况下,部署 VMware Cloud Director 设备时,VMware Cloud Director 会生成自签名证书,并使用这些证书配置 VMware Cloud Director 单元以进行 HTTPS 和控制台代理通信。

成功部署主设备后,设备配置逻辑会将 responses.properties 文件从主设备复制到公用 NFS 共享传输服务存储(位于 /opt/vmware/vcloud-director/data/transfer)。为此 VMware Cloud Director 服务器组部署的其他设备将使用此文件自动进行自我配置。文件 responses.properties 包含 SSL 证书和私钥的路径,其中包括自动生成的自签名证书 user.certificate.path、私钥 user.key.path、控制台代理证书 user.consoleproxy.certificate.path 以及控制台代理私钥 user.consoleproxy.key.path。默认情况下,这些路径指向每个设备的本地 PEM 文件。

注: 用于证书的密钥密码必须与部署所有设备时使用的初始 root 密码相匹配。

部署主设备后,可以重新配置该设备以使用签名证书。有关创建签名证书的详细信息,请参见创建 CA 签名的 SSL 证书并将其导入到 VMware Cloud Director 设备

如果在主 VMware Cloud Director 设备上使用的签名证书是通配符签名证书,则这些证书可以应用于 VMware Cloud Director 服务器组中的所有其他设备,即备用单元和 VMware Cloud Director 应用程序单元。可以使用用于 HTTPS 和控制台代理通信的签名通配符证书部署设备,以便通过签名通配符 SSL 证书配置其他单元。

过程

  1. user.http.pemuser.http.keyuser.consoleproxy.pemuser.consoleproxy.key 文件从主设备复制到传输共享(位于 /opt/vmware/vcloud-director/data/transfer/)。
  2. 将证书文件的所有者和组权限更改为 vcloud
    chown vcloud.vcloud /opt/vmware/vcloud-director/data/transfer/user.http.pem
    chown vcloud.vcloud /opt/vmware/vcloud-director/data/transfer/user.http.key
    chown vcloud.vcloud /opt/vmware/vcloud-director/data/transfer/user.consoleproxy.pem
    chown vcloud.vcloud /opt/vmware/vcloud-director/data/transfer/user.consoleproxy.key
  3. 确认证书文件的所有者拥有读写权限。
    chmod 0750 /opt/vmware/vcloud-director/data/transfer/user.http.pem
    chmod 0750 /opt/vmware/vcloud-director/data/transfer/user.http.key
    chmod 0750 /opt/vmware/vcloud-director/data/transfer/user.consoleproxy.pem
    chmod 0750 /opt/vmware/vcloud-director/data/transfer/user.consoleproxy.key
  4. 在主设备上,运行以下命令,将新的签名证书导入到 VMware Cloud Director 实例。

    这些命令还会更新传输共享中的 responses.properties 文件,修改 user.certificate.pathuser.key.pathuser.consoleproxy.certificate.pathuser.consoleproxy.key.path 变量以指向传输共享中的证书文件。

    /opt/vmware/vcloud-director/bin/cell-management-tool certificates -j --cert /opt/vmware/vcloud-director/data/transfer/user.http.pem --key /opt/vmware/vcloud-director/data/transfer/user.http.key --key-password root-password
    /opt/vmware/vcloud-director/bin/cell-management-tool certificates -p --cert /opt/vmware/vcloud-director/data/transfer/user.consoleproxy.pem --key /opt/vmware/vcloud-director/data/transfer/user.consoleproxy.key --key-password root-password
  5. 要使新签名证书生效,请重新启动主设备上的 vmware-vcd 服务。
    1. 运行 命令以停止 服务。
      /opt/vmware/vcloud-director/bin/cell-management-tool cell -i $(service vmware-vcd pid cell) -s
    2. 运行 命令以启动 服务。
      systemctl start vmware-vcd
  6. 使用与密钥密码一致的初始 root 密码部署备用单元和应用程序单元设备。

结果

使用同一 NFS 共享传输服务存储的所有新部署的设备都配置了主设备所用的同一签名通配符 SSL 证书。