在 Linux 上为 VMware Cloud Director 创建和导入 CA 签名的 SSL 证书

创建和导入 CA 签名的证书为 SSL 通信提供了最高级别的信任，并有助于保护云计算基础架构中的连接。

从 VMware Cloud Director 10.4 开始，控制台代理流量和 HTTPS 通信都使用默认的 443 端口。控制台代理不需要单独的证书。

注： VMware Cloud Director 10.4.1 及更高版本不支持控制台代理功能的旧版实现。

对于 VMware Cloud Director 10.4，如果要使用专用控制台代理接入点的旧版实现，可以从 Service Provider Admin Portal的管理选项卡下的“功能标记”设置菜单中启用 LegacyConsoleProxy 功能。要启用 LegacyConsoleProxy 功能，您的安装或部署必须具有在先前版本中配置并通过 VMware Cloud Director 升级传输的控制台代理设置。启用或停用该功能后，必须重新启动单元。如果启用旧版控制台代理，则控制台代理必须具有单独的证书。请参见本文档的 VMware Cloud Director 10.3 版本。

HTTPS 端点的证书必须包含 X.500 标识名和 X.509 主体备用名称扩展。

可以使用由可信证书颁发机构 (CA) 签名的证书，也可以使用自签名证书。

使用 cell-management-tool 创建自签名 SSL 证书。在运行配置代理之前和运行安装文件之后，在单元上安装 cell-management-tool 实用程序。请参见在服务器组的第一个成员上安装 VMware Cloud Director。

重要说明：这些示例指定 2048 位密钥大小，但应先评估安装的安全要求，然后再选择适当的密钥大小。根据 NIST 特殊出版物 800-131A，不再支持小于 1024 位的密钥大小。

前提条件

下载并安装 OpenSSL。
有关 generate-certs 命令的可用选项的更多详细信息，请参见为 HTTPS 和控制台代理端点生成自签名证书。
有关 certificates 命令的可用选项的更多详细信息，请参见替换 HTTPS 端点的证书。

过程

以 root 身份直接或通过 SSH 客户端登录到 VMware Cloud Director 服务器单元的操作系统。
根据您的环境需求，选择以下选项之一。
- 如果您有自己的私钥和 CA 签名证书文件，请跳至步骤 6。
- 如果要使用自定义选项（如更大的密钥大小）生成新证书，请继续执行步骤 3。
要为 HTTPS 服务创建公钥和私钥对，请运行以下命令。
```
/opt/vmware/vcloud-director/bin/cell-management-tool generate-certs --cert cert.pem --key cert.key --key-password key_password
```
命令使用指定的密码创建或覆盖位于 cert.pem 的证书文件和位于 cert.key 的私钥文件。将使用命令的默认值创建证书。根据环境的 DNS 配置，颁发者 CN 设置为每个服务的 IP 地址或 FQDN。证书使用默认的 2048 位密钥长度，并在创建 1 年后过期。

重要说明：证书文件和私钥文件及其存储目录必须可由用户 vcloud.vcloud 读取。 VMware Cloud Director 及其存储目录必须可由用户 vcloud.vcloud 读取。 VMware Cloud Director 安装程序将创建此用户和组。

在 cert.csr 文件中创建证书签名请求。

openssl req -new -key cert.key -reqexts SAN -config <(cat /etc/ssl/openssl.cnf <(printf "\n[SAN]\nsubjectAltName=DNS:vcd2.example.com,DNS:vcd2,IP:10.100.101.10\n")) -out cert.csr

将证书签名请求发送给证书颁发机构。
如果您的证书颁发机构要求您指定 Web 服务器类型，则使用 Jakarta Tomcat。

您将获取 CA 签名证书。

运行命令，将根 CA 签名证书和任何中间证书附加到在步骤 2 中生成的证书。

cat intermediate-certificate-file-1.cer intermediate-certificate-file-2.cer root-CA-certificate.cer >> cert.pem

对服务器组中的所有 VMware Cloud Director 服务器重复此过程。

下一步做什么

如果尚未配置 VMware Cloud Director 实例，请运行 configure 脚本，将证书导入 VMware Cloud Director。请参见配置网络和数据库连接。

注：如果创建 cert.pem 或 cert.key 证书文件时使用的计算机不是生成完全限定域名及其关联 IP 地址列表的服务器，请立即将 cert.pem 和 cert.key 文件复制到该服务器。运行配置脚本时，您需要证书和专用密钥路径名称。
如果已安装并配置 VMware Cloud Director 实例，请使用单元管理工具的 certificates 命令导入证书。请参见替换 HTTPS 端点的证书。