如果您有自己的私钥和 CA 签名证书文件,将其导入到 VMware Cloud Director 环境可为 SSL 通信提供最高级别的信任,并且有助于保护云计算基础架构中的连接。
从 VMware Cloud Director 10.4 开始,控制台代理流量和 HTTPS 通信都使用默认的 443 端口。控制台代理不需要单独的证书。
注:
VMware Cloud Director 10.4.1 及更高版本不支持控制台代理功能的旧版实现。
过程
- 以 root 身份直接或通过 SSH 客户端登录到 VMware Cloud Director 设备控制台。
- 备份现有证书文件。
| 选项 |
描述 |
| 如果您的环境是从 VMware Cloud Director 10.2 升级的。 |
- 使用
user.http.pem、user.http.key、user.consoleproxy.pem 和 user.consoleproxy.key 属性记下 /opt/vmware/vcloud-director/etc/global.properties 中的现有 http 和 consoleproxy 证书文件路径。
- 要备份现有证书文件,请使用步骤 2a 中的路径运行以下命令。
cp path_to_the_user.http.pem /opt/vmware/vcloud-director/etc/user.http.pem.original
cp path_to_the_user.http.key /opt/vmware/vcloud-director/etc/user.http.key.original
|
| 如果您的环境已从 VMware Cloud Director 10.3 升级或者是新部署。 |
要备份现有证书文件,请运行以下命令。cp /opt/vmware/vcloud-director/etc/user.http.pem /opt/vmware/vcloud-director/etc/user.http.pem.original
cp /opt/vmware/vcloud-director/etc/user.http.key /opt/vmware/vcloud-director/etc/user.http.key.original |
- 在 /opt/vmware/vcloud-director/etc/user.http.pem 和 /opt/vmware/vcloud-director/etc/user.http.key 中复制并替换必须导入的密钥和证书文件。
- 如果具有中间证书,要将根 CA 签名证书和任何中间证书附加到 HTTP 证书,请运行以下命令。
cat intermediate-certificate-file-1.cer intermediate-certificate-file-2.cerroot-CA-certificate.cer >> /opt/vmware/vcloud-director/etc/user.http.pem
其中,intermediate-certificate-file-1.cer 和 intermediate-certificate-file-2.cer 是中间证书的名称,root-CA-certificate.cer 是根 CA 签名证书的名称。
- 运行命令以将签名证书导入到 VMware Cloud Director 实例中。
/opt/vmware/vcloud-director/bin/cell-management-tool certificates -j --cert /opt/vmware/vcloud-director/etc/user.http.pem --key /opt/vmware/vcloud-director/etc/user.http.key --key-password imported_key_password
- 要使 CA 签名的证书生效,请重新启动 VMware Cloud Director 设备上的
vmware-vcd 服务。
- 运行 命令以停止 服务。
/opt/vmware/vcloud-director/bin/cell-management-tool cell -i $(service vmware-vcd pid cell) -s
- 运行 命令以启动 服务。
systemctl start vmware-vcd
