创建和导入 CA 签名的证书为 SSL 通信提供了最高级别的信任,并有助于保护云计算基础架构中的连接。
从 VMware Cloud Director 10.4 开始,控制台代理流量和 HTTPS 通信都使用默认的 443 端口。控制台代理不需要单独的证书。
注:
VMware Cloud Director 10.4.1 及更高版本不支持控制台代理功能的旧版实现。
对于 VMware Cloud Director 10.4,如果要使用专用控制台代理接入点的旧版实现,可以从 Service Provider Admin Portal的管理选项卡下的“功能标记”设置菜单中启用 LegacyConsoleProxy 功能。要启用 LegacyConsoleProxy 功能,您的安装或部署必须具有在先前版本中配置并通过 VMware Cloud Director 升级传输的控制台代理设置。启用或停用该功能后,必须重新启动单元。如果启用旧版控制台代理,则控制台代理必须具有单独的证书。请参见本文档的 VMware Cloud Director 10.3 版本。
HTTPS 端点的证书必须包含 X.500 标识名和 X.509 主体备用名称扩展。
可以使用由可信证书颁发机构 (CA) 签名的证书,也可以使用自签名证书。
使用 cell-management-tool
创建自签名 SSL 证书。在运行配置代理之前和运行安装文件之后,在单元上安装 cell-management-tool
实用程序。请参见在服务器组的第一个成员上安装 VMware Cloud Director。
重要说明: 这些示例指定 2048 位密钥大小,但应先评估安装的安全要求,然后再选择适当的密钥大小。根据 NIST 特殊出版物 800-131A,不再支持小于 1024 位的密钥大小。
前提条件
- 下载并安装 OpenSSL。
- 有关
generate-certs
命令的可用选项的更多详细信息,请参见为 HTTPS 和控制台代理端点生成自签名证书。 - 有关
certificates
命令的可用选项的更多详细信息,请参见替换 HTTPS 端点的证书。
过程
下一步做什么
- 如果尚未配置 VMware Cloud Director 实例,请运行 configure 脚本,将证书导入 VMware Cloud Director。请参见配置网络和数据库连接。
注: 如果创建 cert.pem 或 cert.key 证书文件时使用的计算机不是生成完全限定域名及其关联 IP 地址列表的服务器,请立即将 cert.pem 和 cert.key 文件复制到该服务器。运行配置脚本时,您需要证书和专用密钥路径名称。
- 如果已安装并配置 VMware Cloud Director 实例,请使用单元管理工具的 certificates 命令导入证书。请参见替换 HTTPS 端点的证书。