使用 VMware Cloud Director 单元管理工具的 generate-certs 命令为 HTTPS 端点生成自签名 SSL 证书。

每个 VMware Cloud Director 服务器组都必须支持 HTTPS 服务的一个端点。从 VMware Cloud Director 10.4 开始,控制台代理流量和 HTTPS 通信使用默认的 443 端口。HTTPS 服务端点支持 VMware Cloud Director Service Provider Admin Portal VMware Cloud Director Tenant PortalVMware Cloud Director API 以及与 vApp 和 VM 的 VMRC 连接相关的控制台代理流量。

注: VMware Cloud Director 10.4.1 及更高版本不支持控制台代理功能的旧版实现。

单元管理工具中的 generate-certs 命令可自动执行为 Linux 上的 VMware Cloud Director 创建自签名 SSL 证书过程。

要生成新的自签名 SSL 证书,请使用以下形式的命令行:
cell-management-toolgenerate-certsoptions
表 1. 单元管理工具选项和参数,generate-certs 子命令
选项 参数 描述
--help (-h) 提供此类别中可用命令的摘要。
--expiration (-x) days-until-expiration 证书过期前的天数。默认值为 365
--issuer (-i) name=value [, name=value, ...] 证书颁发者的 X.509 可分辨名称。默认值为 CN=FQDN。其中 FQDN 是该单元的完全限定域名或其 IP 地址(如果没有可用的完全限定域名)。如果指定多个属性/值对,请用逗号分隔它们,并将整个参数置于引号内。
--key-size (-s) key-size 表示为整数位数的键对大小。默认值为 2048。根据 NIST 特殊出版物 800-131A,不再支持小于 1024 的密钥大小。
--key-password key-password 生成的私钥的密码。
--cert cert 生成的 PEM 编码 X.509 证书文件的路径。
--key 生成的 PEM 编码 PKCS #8 私钥文件的路径。

创建自签名证书

这两个示例均假定 /tmp/cell.pem 下具有证书文件且 /tmp/cell.key 下具有相应的私钥文件,且密码为 kpw。如果这些文件尚不存在,则会进行创建。

此示例使用默认值创建新证书。颁发者名称设置为 CN=Unknown。证书使用默认的 2048 位密钥长度,并在创建 1 年后过期。
[root@cell1 /opt/vmware/vcloud-director/bin]# ./cell-management-tool generate-certs --cert /tmp/cell.pem --key /tmp/cell.key --key-password kpw
New certificate created and written to /tmp/cell.pem
New private key created and written to /tmp/cell.key
此示例为密钥大小和颁发者名称指定自定义值。颁发者名称设置为 CN=Test, L=London, C=GB。HTTPS 连接的新证书具有一个 4096 位密钥,在创建 90 天后过期。
[root@cell1 /opt/vmware/vcloud-director/bin]# ./cell-management-tool generate-certs --cert /tmp/cell.pem --key /tmp/cell.key --key-password kpw -i "CN=Test, L=London, C=GB" -s 4096 -x 90
New certificate created and written to /tmp/cell.pem
New private key created and written to /tmp/cell.key
重要说明: 证书和私钥文件及其存储目录必须可由用户 vcloud.vcloud 读取。 VMware Cloud Director 安装程序将创建此用户和组。