对于信任问题无关紧要的环境,自签名证书为配置 VMware Cloud Director 的 SSL 提供了一种快捷简便的方式。

VMware Cloud Director 10.4 开始,控制台代理流量和 HTTPS 通信都使用默认的 443 端口。控制台代理不需要单独的证书。

注: VMware Cloud Director 10.4.1 及更高版本不支持控制台代理功能的旧版实现。

对于 VMware Cloud Director 10.4,如果要使用专用控制台代理接入点的旧版实现,可以从 Service Provider Admin Portal管理选项卡下的“功能标记”设置菜单中启用 LegacyConsoleProxy 功能。要启用 LegacyConsoleProxy 功能,您的安装或部署必须具有在先前版本中配置并通过 VMware Cloud Director 升级传输的控制台代理设置。启用或停用该功能后,必须重新启动单元。如果启用旧版控制台代理,则控制台代理必须具有单独的证书。请参见本文档的 VMware Cloud Director 10.3 版本。

使用 cell-management-tool 创建自签名 SSL 证书。cell-management-tool 实用程序会在运行配置代理之前且运行安装文件之后安装在单元上。请参见在服务器组的第一个成员上安装 VMware Cloud Director

重要说明: 这些示例指定 2048 位密钥大小,但应先评估安装的安全要求,然后再选择适当的密钥大小。根据 NIST 特殊出版物 800-131A,不再支持小于 1024 位的密钥大小。

过程

  1. root 身份直接或通过 SSH 客户端登录到 VMware Cloud Director 服务器的操作系统。
  2. 创建公钥和私钥对。 
    /opt/vmware/vcloud-director/bin/cell-management-tool generate-certs --cert cert.pem --key cert.key --key-password passwd

    该命令将创建私钥为 cert.key 且密码为 passwd 的证书 cert.pemcell-management-tool 将使用命令的默认值创建证书。根据环境的 DNS 配置,颁发者 CN 设置为每个服务的 IP 地址或 FQDN。证书使用默认的 2048 位密钥长度,并在创建 1 年后过期。

    重要说明: 证书文件和私钥文件及其存储目录必须可由用户 vcloud.vcloud 读取。 VMware Cloud Director 安装程序将创建此用户和组。

下一步做什么

记下证书和专用密钥路径名称。运行配置脚本为 VMware Cloud Director 单元建立网络和数据库连接时,需要使用这些路径名称。请参见配置网络和数据库连接