如果您有自己的私钥和 CA 签名证书文件,将其导入到 VMware Cloud Director 环境可为 SSL 通信提供最高级别的信任,并且有助于保护云计算基础架构中的连接。对于版本 10.4,过程包括控制台代理设置。
如果要将私钥和 CA 签名证书导入到 VMware Cloud Director 设备 10.4.1 或更高版本,请参见将私钥和 CA 签名的 SSL 证书导入到 VMware Cloud Director 设备 10.4.1 及更高版本。
从 VMware Cloud Director 10.4 开始,控制台代理流量和 HTTPS 通信都使用默认的 443 端口。控制台代理不需要单独的证书。
注:
VMware Cloud Director 10.4.1 及更高版本不支持控制台代理功能的旧版实现。
如果要在 VMware Cloud Director 10.4 中使用专用控制台代理接入点的旧版实现,可以从Service Provider Admin Portal的管理选项卡下的“功能标记”设置菜单中启用 LegacyConsoleProxy 功能。要启用 LegacyConsoleProxy 功能,您的安装或部署必须具有在先前版本中配置并通过 VMware Cloud Director 升级传输的控制台代理设置。启用或停用该功能后,必须重新启动单元。如果启用旧版控制台代理,则控制台代理必须具有单独的证书。
过程
- 以 root 身份直接或通过 SSH 客户端登录到 VMware Cloud Director 设备控制台。
- 备份现有证书文件。
选项 |
描述 |
如果您的环境是从 VMware Cloud Director 10.2 升级的。 |
- 使用
user.http.pem 、 user.http.key 、user.consoleproxy.pem 和 user.consoleproxy.key 属性记下 /opt/vmware/vcloud-director/etc/global.properties 中的现有 http 和 consoleproxy 证书文件路径。
- 要备份现有证书文件,请使用步骤 2a 中的路径运行以下命令。
cp path_to_the_user.http.pem /opt/vmware/vcloud-director/etc/user.http.pem.original
cp path_to_the_user.http.key /opt/vmware/vcloud-director/etc/user.http.key.original
cp path_to_the_user.consoleproxy.pem /opt/vmware/vcloud-director/etc/user.consoleproxy.pem.original
cp path_to_the_user.consoleproxy.key /opt/vmware/vcloud-director/etc/user.consoleproxy.key.original
|
如果您的环境已从 VMware Cloud Director 10.3 升级或者是新部署。 |
要备份现有证书文件,请运行以下命令。cp /opt/vmware/vcloud-director/etc/user.http.pem /opt/vmware/vcloud-director/etc/user.http.pem.original
cp /opt/vmware/vcloud-director/etc/user.http.key /opt/vmware/vcloud-director/etc/user.http.key.original
cp /opt/vmware/vcloud-director/etc/user.consoleproxy.pem /opt/vmware/vcloud-director/etc/user.consoleproxy.pem.original
cp /opt/vmware/vcloud-director/etc/user.consoleproxy.key /opt/vmware/vcloud-director/etc/user.consoleproxy.key.original |
- 复制并替换必须在以下位置导入的密钥和证书文件:/opt/vmware/vcloud-director/etc/user.http.pem、/opt/vmware/vcloud-director/etc/user.http.key、/opt/vmware/vcloud-director/etc/user.consoleproxy.pem 以及 /opt/vmware/vcloud-director/etc/user.consoleproxy.key。
- 如果您有中间证书,则要将根 CA 签名证书和任何中间证书附加到 HTTP 和控制台代理证书中,请运行以下命令。
cat intermediate-certificate-file-1.cer intermediate-certificate-file-2.cer root-CA-certificate.cer >> /opt/vmware/vcloud-director/etc/user.http.pem
cat intermediate-certificate-file-1.cer intermediate-certificate-file-2.cer root-CA-certificate.cer >> /opt/vmware/vcloud-director/etc/user.consoleproxy.pem
其中,intermediate-certificate-file-1.cer 和 intermediate-certificate-file-2.cer 是中间证书的名称,root-CA-certificate.cer 是根 CA 签名证书的名称。
- 运行命令以将签名证书导入到 VMware Cloud Director 实例中。
/opt/vmware/vcloud-director/bin/cell-management-tool certificates -j --cert /opt/vmware/vcloud-director/etc/user.http.pem --key /opt/vmware/vcloud-director/etc/user.http.key --key-password imported_key_password
/opt/vmware/vcloud-director/bin/cell-management-tool certificates -p --cert /opt/vmware/vcloud-director/etc/user.consoleproxy.pem --key /opt/vmware/vcloud-director/etc/user.consoleproxy.key --key-password imported_key_password
- 要使 CA 签名的证书生效,请重新启动 VMware Cloud Director 设备上的
vmware-vcd
服务。
- 运行 命令以停止 服务。
/opt/vmware/vcloud-director/bin/cell-management-tool cell -i $(service vmware-vcd pid cell) -s
- 运行 命令以启动 服务。
systemctl start vmware-vcd