使用单元管理工具的 generate-certs 命令为 HTTPS 端点生成自签名 SSL 证书。
每个 VMware Cloud Director 服务器组都必须支持 HTTPS 服务的一个端点。从 VMware Cloud Director 10.4 开始,控制台代理流量和 HTTPS 通信使用默认的 443 端口。HTTPS 服务端点支持 VMware Cloud Director Service Provider Admin Portal、 VMware Cloud Director Tenant Portal、VMware Cloud Director API 以及与 vApp 和 VM 的 VMRC 连接相关的控制台代理流量。
对于 VMware Cloud Director 10.4,如果要使用专用控制台代理接入点的旧版实现,可以从 Service Provider Admin Portal的管理选项卡下的“功能标记”设置菜单中启用 LegacyConsoleProxy 功能。要启用 LegacyConsoleProxy 功能,您的安装或部署必须具有在先前版本中配置并通过 VMware Cloud Director 升级传输的控制台代理设置。启用或停用该功能后,必须重新启动单元。如果启用旧版控制台代理,则控制台代理必须具有单独的证书。请参见本文档的 VMware Cloud Director 10.3 版本。
单元管理工具中的 generate-certs 命令可自动执行在 Linux 上为 VMware Cloud Director 创建自签名 SSL 证书过程。
cell-management-tool generate-certs options
选项 | 参数 | 描述 |
---|---|---|
--help (-h) | 无 | 提供此类别中可用命令的摘要。 |
--expiration (-x) | days-until-expiration | 证书过期前的天数。默认值为 365 |
--issuer (-i) | name=value [, name=value, ...] | 证书颁发者的 X.509 可分辨名称。默认值为 CN=FQDN 。其中 FQDN 是该单元的完全限定域名或其 IP 地址(如果没有可用的完全限定域名)。如果指定多个属性/值对,请用逗号分隔它们,并将整个参数置于引号内。 |
--key-size (-s) | key-size | 表示为整数位数的键对大小。默认值为 2048。根据 NIST 特殊出版物 800-131A,不再支持小于 1024 的密钥大小。 |
--key-password | key-password | 生成的私钥的密码。 |
--cert | cert | 生成的 PEM 编码 X.509 证书文件的路径。 |
--key | 键 | 生成的 PEM 编码 PKCS #8 私钥文件的路径。 |
创建自签名证书
这两个示例均假定 /tmp/cell.pem 下具有证书文件且 /tmp/cell.key 下具有相应的私钥文件,且密码为 kpw
。如果这些文件尚不存在,则会进行创建。
CN=Unknown
。证书使用默认的 2048 位密钥长度,并在创建 1 年后过期。
[root@cell1 /opt/vmware/vcloud-director/bin]# ./cell-management-tool generate-certs --cert /tmp/cell.pem --key /tmp/cell.key --key-password kpw New certificate created and written to /tmp/cell.pem New private key created and written to /tmp/cell.key
CN=Test, L=London, C=GB
。HTTPS 连接的新证书具有一个 4096 位密钥,在创建 90 天后过期。
[root@cell1 /opt/vmware/vcloud-director/bin]# ./cell-management-tool generate-certs --cert /tmp/cell.pem --key /tmp/cell.key --key-password kpw -i "CN=Test, L=London, C=GB" -s 4096 -x 90 New certificate created and written to /tmp/cell.pem New private key created and written to /tmp/cell.key
vcloud.vcloud
读取。
VMware Cloud Director 安装程序将创建此用户和组。