可以使用签名通配符证书部署 VMware Cloud Director 设备。可以使用这些证书保护属于证书中所列域名的子域的无限个服务器。

默认情况下,部署 VMware Cloud Director 设备时,VMware Cloud Director 会生成自签名证书,并使用这些证书配置 VMware Cloud Director 单元以进行 HTTPS 通信。

VMware Cloud Director 10.4 开始,控制台代理流量和 HTTPS 通信都使用默认的 443 端口。控制台代理不需要单独的证书。

注: VMware Cloud Director 10.4.1 及更高版本不支持控制台代理功能的旧版实现。

成功部署主设备后,设备配置逻辑会将 responses.properties 文件从主设备复制到公用 NFS 共享传输服务存储(位于 /opt/vmware/vcloud-director/data/transfer)。为此 VMware Cloud Director 服务器组部署的其他设备将使用此文件自动进行自我配置。responses.properties 文件包含 SSL 证书和私钥的路径,其中包括自动生成的自签名证书 user.certificate.path 和私钥 user.key.path。默认情况下,这些路径指向每个设备的本地 PEM 文件。

部署主设备后,可以重新配置该设备以使用签名证书。有关创建签名证书的详细信息,请参见为 VMware Cloud Director 设备创建和导入 CA 签名的 SSL 证书

如果在主 VMware Cloud Director 设备上使用的签名证书是通配符签名证书,则这些证书可以应用于 VMware Cloud Director 服务器组中的所有其他设备,即备用单元和 VMware Cloud Director 应用程序单元。可以使用具有签名通配符证书的设备部署进行 HTTPS 通信,以便通过签名通配符 SSL 证书配置其他单元。

前提条件

要验证这是否是满足您环境需求的相关过程,请熟悉创建和管理 VMware Cloud Director 设备的 SSL 证书

过程

  1. user.http.pemuser.http.key 文件从主设备复制到传输共享(位于 /opt/vmware/vcloud-director/data/transfer/)。
  2. 将证书文件的所有者和组权限更改为 vcloud
    chown vcloud.vcloud /opt/vmware/vcloud-director/data/transfer/user.http.pem
    chown vcloud.vcloud /opt/vmware/vcloud-director/data/transfer/user.http.key
  3. 确认证书文件的所有者拥有读写权限。
    chmod 0750 /opt/vmware/vcloud-director/data/transfer/user.http.pem
    chmod 0750 /opt/vmware/vcloud-director/data/transfer/user.http.key
  4. 在主设备上,运行以下命令,将新的签名证书导入到 VMware Cloud Director 实例。

    这些命令还会更新传输共享中的 responses.properties 文件,修改 user.certificate.pathuser.key.path 变量以指向传输共享中的证书文件。

    /opt/vmware/vcloud-director/bin/cell-management-tool certificates -j --cert /opt/vmware/vcloud-director/data/transfer/user.http.pem --key /opt/vmware/vcloud-director/data/transfer/user.http.key --key-password root-password
  5. 要使新签名证书生效,请重新启动主设备上的 vmware-vcd 服务。
    1. 运行 命令以停止 服务。
      /opt/vmware/vcloud-director/bin/cell-management-tool cell -i $(service vmware-vcd pid cell) -s
    2. 运行 命令以启动 服务。
      systemctl start vmware-vcd
  6. 使用与密钥密码一致的初始 root 密码部署备用单元和应用程序单元设备。

结果

使用同一 NFS 共享传输服务存储的所有新部署的设备都配置了主设备所用的同一签名通配符 SSL 证书。