Generieren von selbstsignierten Zertifikaten für die HTTPS- und Konsolenproxy-Endpoints

Verwenden Sie den Befehl generate-certs des Zellenverwaltungstools, um selbstsignierte SSL-Zertifikate für die HTTPS- und Konsolenproxy-Endpoints zu generieren.

Jede VMware Cloud Director-Servergruppe muss zwei SSL-Endpoints unterstützen: einen für den HTTPS-Dienst und einen weiteren für den Konsolenproxydienst. Der Endpoint des HTTPS-Diensts unterstützt das VMware Cloud Director Service Provider Admin Portal, das VMware Cloud Director Tenant Portal und die VMware Cloud Director-API. Der Remote-Konsolen-Proxy-Endpoint unterstützt VMRC-Verbindungen mit vApps und VMs.

Mit dem Befehl generate-certs im Zellenverwaltungstool wird das in Erstellen von selbstsignierten SSL-Zertifikaten für VMware Cloud Director unter Linux beschriebene Verfahren automatisiert.

Verwenden Sie zum Generieren neuer selbstsignierter SSL-Zertifikate eine Befehlszeile im folgenden Format:

cell-management-tool generate-certs options

Tabelle 1. Optionen des Zellenverwaltungstools und zugehörige Argumente, Unterbefehl generate-certs
Option	Argument	Beschreibung
--help (-h)	Keines	Stellt eine Zusammenfassung der verfügbaren Befehle in dieser Kategorie bereit.
--expiration (-x)	`days-until-expiration`	Die Anzahl der Tage bis zum Ablauf der Zertifikate. Standardmäßig 365.
--issuer (-i)	`name`=`value` [, `name`=`value`, ...]	X.509-DN (Distinguished Name) des Zertifikatsherausgebers. Die Standardeinstellung lautet `CN=FQDN`. Dabei ist `FQDN` der vollqualifizierte Domänenname der Zelle bzw. ihre IP-Adresse, falls kein vollqualifizierter Domänenname vorliegt. Wenn Sie mehrere Attribut-Wert-Paare angeben, trennen Sie sie durch Komma und schließen Sie das gesamte Argument in Anführungszeichen ein.
--key-size (-s)	`key-size`	Die Größe des Schlüsselpaars als Ganzzahlwert der Bits. Die Standardeinstellung lautet 2048. Schlüssel mit einer Länge von weniger als 1024 werden entsprechend NIST Special Publication 800-131A nicht mehr unterstützt.
--key-password	`key-password`	Kennwort für den generierten privaten Schlüssel.
--cert	`cert`	Pfad zur generierten Zertifikatsdatei.
--key	key	Pfad zur generierten Privatschlüsseldatei.

Erstellen selbstsignierter Zertifikate

In beiden Beispielen werden eine Zertifikatsdatei unter /tmp/cell.pem und eine entsprechende Privatschlüsseldatei unter /tmp/cell.key mit dem Kennwort kpw vorausgesetzt. Diese Dateien werden erstellt, wenn sie noch nicht vorhanden sind.

In diesem Beispiel werden die neuen Zertifikate mit den Standardwerten erstellt. Der Name des Ausstellers wird auf CN=Unknown festgelegt. Für das Zertifikat wird die Standardschlüssellänge von 2048-Bit verwendet und das Zertifikat läuft ein Jahr nach der Erstellung ab.

[root@cell1 /opt/vmware/vcloud-director/bin]# ./cell-management-tool generate-certs --cert /tmp/cell.pem --key /tmp/cell.key --key-password kpw
New certificate created and written to /tmp/cell.pem
New private key created and written to /tmp/cell.key

In diesem Beispiel werden auch benutzerdefinierte Werte für die Schlüssellänge und den Namen des Ausstellers angegeben. Der Name des Ausstellers wird auf CN=Test, L=London, C=GB festgelegt. Das neue Zertifikat für die HTTPS-Verbindung hat einen 4096 Bit umfassenden Schlüssel und läuft 90 Tage nach seiner Erstellung ab.

[root@cell1 /opt/vmware/vcloud-director/bin]# ./cell-management-tool generate-certs --cert /tmp/cell.pem --key /tmp/cell.key --key-password kpw -i "CN=Test, L=London, C=GB" -s 4096 -x 90
New certificate created and written to /tmp/cell.pem
New private key created and written to /tmp/cell.key

Wichtig: Die Zertifikats- und die Privatschlüsseldatei und das Verzeichnis, in dem sie gespeichert sind, müssen vom Benutzer vcloud.vcloud gelesen werden können. Das Installationsprogramm von VMware Cloud Director erstellt diesen Benutzer und diese Gruppe.