如果您有自己的私钥和 CA 签名证书文件,将其导入到 VMware Cloud Director 环境可为 SSL 通信提供最高级别的信任,并且有助于保护云计算基础架构中的连接。对于版本 10.4,过程包括控制台代理设置。

如果要将私钥和 CA 签名证书导入到 VMware Cloud Director 设备 10.4.1 或更高版本,请参见将私钥和 CA 签名的 SSL 证书导入到 VMware Cloud Director 设备 10.4.1 及更高版本

VMware Cloud Director 10.4 开始,控制台代理流量和 HTTPS 通信都使用默认的 443 端口。控制台代理不需要单独的证书。

注: VMware Cloud Director 10.4.1 及更高版本不支持控制台代理功能的旧版实现。

如果要在 VMware Cloud Director 10.4 中使用专用控制台代理接入点的旧版实现,可以从Service Provider Admin Portal管理选项卡下的“功能标记”设置菜单中启用 LegacyConsoleProxy 功能。要启用 LegacyConsoleProxy 功能,您的安装或部署必须具有在先前版本中配置并通过 VMware Cloud Director 升级传输的控制台代理设置。启用或停用该功能后,必须重新启动单元。如果启用旧版控制台代理,则控制台代理必须具有单独的证书。

前提条件

  • 要验证这是否是满足您环境需求的相关过程,请熟悉创建和管理 VMware Cloud Director 设备的 SSL 证书

  • 将中间证书、根 CA 证书、CA 签名的 HTTPS 服务证书复制到设备。
  • 如果启用了旧版控制台代理实现,请参见本文档的 VMware Cloud Director 版本。

过程

  1. root 身份直接或通过 SSH 客户端登录到 VMware Cloud Director 设备控制台。
  2. 备份现有证书文件。
    选项 描述
    如果您的环境是从 VMware Cloud Director 10.2 升级的。
    1. 使用 user.http.pem user.http.keyuser.consoleproxy.pemuser.consoleproxy.key 属性记下 /opt/vmware/vcloud-director/etc/global.properties 中的现有 httpconsoleproxy 证书文件路径。
    2. 要备份现有证书文件,请使用步骤 2a 中的路径运行以下命令。
      cp path_to_the_user.http.pem /opt/vmware/vcloud-director/etc/user.http.pem.original
      cp path_to_the_user.http.key /opt/vmware/vcloud-director/etc/user.http.key.original
      cp path_to_the_user.consoleproxy.pem /opt/vmware/vcloud-director/etc/user.consoleproxy.pem.original
      cp path_to_the_user.consoleproxy.key /opt/vmware/vcloud-director/etc/user.consoleproxy.key.original
    如果您的环境已从 VMware Cloud Director 10.3 升级或者是新部署。 要备份现有证书文件,请运行以下命令。
    cp /opt/vmware/vcloud-director/etc/user.http.pem /opt/vmware/vcloud-director/etc/user.http.pem.original
    cp /opt/vmware/vcloud-director/etc/user.http.key /opt/vmware/vcloud-director/etc/user.http.key.original
    cp /opt/vmware/vcloud-director/etc/user.consoleproxy.pem /opt/vmware/vcloud-director/etc/user.consoleproxy.pem.original
    cp /opt/vmware/vcloud-director/etc/user.consoleproxy.key /opt/vmware/vcloud-director/etc/user.consoleproxy.key.original
  3. 复制并替换必须在以下位置导入的密钥和证书文件:/opt/vmware/vcloud-director/etc/user.http.pem/opt/vmware/vcloud-director/etc/user.http.key/opt/vmware/vcloud-director/etc/user.consoleproxy.pem 以及 /opt/vmware/vcloud-director/etc/user.consoleproxy.key
  4. 如果您有中间证书,则要将根 CA 签名证书和任何中间证书附加到 HTTP 和控制台代理证书中,请运行以下命令。
    cat intermediate-certificate-file-1.cer intermediate-certificate-file-2.cer root-CA-certificate.cer >> /opt/vmware/vcloud-director/etc/user.http.pem
    
    cat intermediate-certificate-file-1.cer intermediate-certificate-file-2.cer root-CA-certificate.cer >> /opt/vmware/vcloud-director/etc/user.consoleproxy.pem

    其中,intermediate-certificate-file-1.cerintermediate-certificate-file-2.cer 是中间证书的名称,root-CA-certificate.cer 是根 CA 签名证书的名称。

  5. 运行命令以将签名证书导入到 VMware Cloud Director 实例中。
    /opt/vmware/vcloud-director/bin/cell-management-tool certificates -j --cert /opt/vmware/vcloud-director/etc/user.http.pem --key /opt/vmware/vcloud-director/etc/user.http.key --key-password imported_key_password
    /opt/vmware/vcloud-director/bin/cell-management-tool certificates -p --cert /opt/vmware/vcloud-director/etc/user.consoleproxy.pem --key /opt/vmware/vcloud-director/etc/user.consoleproxy.key --key-password imported_key_password
  6. 要使 CA 签名的证书生效,请重新启动 VMware Cloud Director 设备上的 vmware-vcd 服务。
    1. 运行 命令以停止 服务。
      /opt/vmware/vcloud-director/bin/cell-management-tool cell -i $(service vmware-vcd pid cell) -s
    2. 运行 命令以启动 服务。
      systemctl start vmware-vcd

下一步做什么