Das Erstellen und Importieren der von einer Zertifizierungsstelle signierten Zertifikate bietet die höchste Vertrauensebene für die SSL-Kommunikation und hilft Ihnen, die Verbindungen innerhalb Ihrer Cloud-Infrastruktur zu sichern.

Jeder VMware Cloud Director-Server muss zwei unterschiedliche SSL-Endpoints unterstützen – einen für die HTTPS- und einen für die Konsolen-Proxy-Kommunikation.

Wichtig: Wenn Sie separate IP-Adressen für den HTTPS-Dienst und den Konsolenproxydienst verwenden, müssen Sie diesen Vorgang einmal für die IP-Adresse des HTTPS-Diensts und erneut für die IP-Adresse des Konsolenproxydiensts durchführen.

Bei den beiden Endpoints kann es sich um separate IP-Adressen oder eine einzelne IP-Adresse mit zwei verschiedenen Ports handeln. Sie können dasselbe Zertifikat für beide Endpoints verwenden, z. B. mithilfe eines Platzhalterzertifikats.

Bei den Zertifikaten für beide Endpoints müssen sowohl ein definierter X.500-Name als auch eine X.509 Subject Alternative Name-Erweiterung angegeben werden.

Sie können von einer vertrauenswürdigen Zertifizierungsstelle (Certification Authority, CA) signierte Zertifikate oder selbstsignierte Zertifikate verwenden.

Sie verwenden das cell-management-tool, um die selbstsignierten SSL-Zertifikate zu erstellen. Das Dienstprogramm cell-management-tool wird vor dem Ausführen des Konfigurations-Agent und nach dem Ausführen der Installationsdatei auf der Zelle installiert. Weitere Informationen finden Sie im Installieren von VMware Cloud Director auf dem ersten Mitglied einer Servergruppe.

Wichtig: In diesen Beispielen wird eine Schlüssellänge von 2048 Bit angegeben, Sie sollten jedoch die Sicherheitsanforderungen Ihrer Installation zunächst überprüfen, um die geeignete Schlüssellänge auszuwählen. Schlüssel mit einer Länge von weniger als 1024 Bit werden entsprechend NIST Special Publication 800-131A nicht mehr unterstützt.

Voraussetzungen

Prozedur

  1. Melden Sie sich direkt oder mithilfe eines SSH-Clients beim Betriebssystem der VMware Cloud Director-Serverzelle als root an.
  2. Je nach den Anforderungen Ihrer Umgebung wählen Sie eine der folgenden Optionen aus.
    • Wenn Sie über einen eigenen privaten Schlüssel und von einer Zertifizierungsstelle signierte Zertifikatsdateien verfügen, fahren Sie mit Schritt 6 fort.
    • Wenn Sie neue Zertifikate mit benutzerdefinierten Optionen generieren möchten, z. B. eine größere Schlüsselgröße, fahren Sie mit Schritt 3 fort.
  3. Führen Sie den Befehl zum Erstellen eines Schlüsselpaars aus einem öffentlichen und einem privaten Schlüssel für den HTTPS- und den Konsolen-Proxy-Dienst aus.
    /opt/vmware/vcloud-director/bin/cell-management-tool generate-certs --cert cert.pem --key cert.key --key-password key_password

    Der Befehl erstellt oder überschreibt eine Zertifikatsdatei unter cert.pem und die Privatschlüsseldatei unter cert.key mit dem angegebenen Kennwort. Zertifikate werden mithilfe der Standardwerte des Befehls erstellt. Je nach DNS-Konfiguration Ihrer Umgebung ist der CN des Ausstellers für jeden Dienst entweder auf die IP-Adresse oder den FQDN festgelegt. Für das Zertifikat wird die Standardschlüssellänge von 2048-Bit verwendet und das Zertifikat läuft ein Jahr nach der Erstellung ab.

    Wichtig: Die Zertifikats- und die Privatschlüsseldatei und das Verzeichnis, in dem sie gespeichert sind, müssen vom Benutzer vcloud.vcloud gelesen werden können. Der VMware Cloud Director und das Verzeichnis, in dem er gespeichert ist, müssen vom Benutzer vcloud.vcloud gelesen werden können. Das Installationsprogramm von VMware Cloud Director erstellt diesen Benutzer und diese Gruppe.
  4. Erstellen Sie eine Zertifikatsignieranforderung in der Datei cert.csr.
    openssl req -new -key cert.key -reqexts SAN -config <(cat /etc/ssl/openssl.cnf <(printf "\n[SAN]\nsubjectAltName=DNS:vcd2.example.com,DNS:vcd2,IP:10.100.101.10\n")) -out cert.csr
  5. Senden Sie die Zertifikatsignieranforderungen an die Zertifizierungsstelle.
    Wenn Ihre Zertifizierungsstelle die Angabe eines Webservertyps verlangt, geben Sie Jakarta Tomcat an.
    Sie erhalten die von der Zertifizierungsstelle signierten Zertifikate.
  6. Führen Sie den Befehl aus, um das von der Root-Zertifizierungsstelle signierte Zertifikat und alle Zwischenzertifikate an das in Schritt 2 erzeugte Zertifikat anzuhängen.
    cat intermediate-certificate-file-1.cer intermediate-certificate-file-2.cer root-CA-certificate.cer >> cert.pem
  7. Wiederholen Sie diesen Vorgang auf allen VMware Cloud Director-Servern in der Servergruppe.

Nächste Maßnahme

  • Wenn Sie Ihre VMware Cloud Director-Instanz noch nicht konfiguriert haben, führen Sie das Skript configure aus, um die Zertifikate in VMware Cloud Director zu importieren. Weitere Informationen finden Sie unter Konfigurieren der Netzwerk- und Datenbankverbindungen.
    Hinweis: Wenn Sie die Zertifikatsdatei cert.pem oder cert.key auf einem anderen Computer als dem Server erstellt haben, auf dem Sie die Liste der vollqualifizierten Domänennamen und der zugehörigen IP-Adressen erzeugt haben, kopieren Sie die Dateien cert.pem und cert.key nun auf diesen Server. Sie benötigen die Pfadnamen des Zertifikats und des privaten Schlüssels, wenn Sie das Konfigurationsskript ausführen.
  • Wenn Sie Ihre VMware Cloud Director-Instanz bereits installiert und konfiguriert haben, verwenden Sie den Befehl certificates des Zellenverwaltungstools zum Importieren der Zertifikate. Weitere Informationen finden Sie im Ersetzen der Zertifikate für die HTTPS- und Konsolenproxy-Endpoints.