Bereitstellen der VMware Cloud Director-Appliance mit signierten Platzhalterzertifikaten für die HTTPS- und Konsolen-Proxy-Kommunikation

Sie können die VMware Cloud Director-Appliance mit signierten Platzhalterzertifikaten bereitstellen. Sie können diese Zertifikate verwenden, um eine unbegrenzte Anzahl von Servern zu sichern, die Unterdomänen des im Zertifikat aufgeführten Domänennamens sind.

Bei der Bereitstellung von VMware Cloud Director-Appliances generiert VMware Cloud Director standardmäßig selbstsignierte Zertifikate und verwendet sie zum Konfigurieren der VMware Cloud Director-Zelle für die HTTPS- und die Konsolenproxy-Kommunikation.

Wenn Sie eine primäre Appliance erfolgreich bereitstellen, kopiert die Konfigurationslogik der Appliance die Datei responses.properties von der primären Appliance in den gemeinsamen Speicher des gemeinsam genutzten NFS-Übertragungsdienst unter /opt/vmware/vcloud-director/data/transfer. Andere für diese VMware Cloud Director-Servergruppe bereitgestellte Appliances verwenden diese Datei, um sich automatisch selbst zu konfigurieren. Die Datei responses.properties enthält einen Pfad zum SSL-Zertifikat und zum privaten Schlüssel. Dieser enthält seinerseits die automatisch generierten selbstsignierten Zertifikate user.certificate.path, den privaten Schlüssel user.key.path, die Konsolen-Proxy-Zertifikate user.consoleproxy.certificate.path und den Konsolen-Proxy-Privatschlüssel user.consoleproxy.key.path. Standardmäßig handelt es sich bei diesen Pfaden um PEM-Dateien, die für jede Appliance lokal sind.

Hinweis: Das Schlüsselkennwort, das Sie für die Zertifikate verwenden, muss mit dem anfänglichen root-Kennwort übereinstimmen, das bei der Bereitstellung aller Appliances verwendet wird.

Nachdem Sie die primäre Appliance bereitgestellt haben, können Sie sie für die Verwendung signierter Zertifikate neu konfigurieren. Weitere Informationen zum Erstellen der signierten Zertifikate finden Sie unter Erstellen und Importieren der von einer Zertifizierungsstelle signierten SSL-Zertifikate in die VMware Cloud Director-Appliance.

Wenn es sich bei den signierten Zertifikaten, die Sie für die primäre VMware Cloud Director-Appliance verwenden, um signierte Platzhalterzertifikate handelt, können diese Zertifikate auf alle anderen Appliances in der VMware Cloud Director-Servergruppe, d. h. Standby-Zellen und VMware Cloud Director-Anwendungszellen, angewendet werden. Sie können die Bereitstellung der Appliance mit signierten Platzhalterzertifikaten für die HTTPS- und Konsolen-Proxy-Kommunikation verwenden, um die zusätzlichen Zellen mit den signierten Platzhalter-SSL-Zertifikaten zu konfigurieren.

Prozedur

Kopieren Sie die Dateien user.http.pem, user.http.key, user.consoleproxy.pem und user.consoleproxy.key aus der primären Appliance in die Übertragungsfreigabe unter /opt/vmware/vcloud-director/data/transfer/.

Ändern Sie die Besitzer- und die Gruppenberechtigungen in den Zertifikatsdateien in vcloud.

chown vcloud.vcloud /opt/vmware/vcloud-director/data/transfer/user.http.pem
chown vcloud.vcloud /opt/vmware/vcloud-director/data/transfer/user.http.key
chown vcloud.vcloud /opt/vmware/vcloud-director/data/transfer/user.consoleproxy.pem
chown vcloud.vcloud /opt/vmware/vcloud-director/data/transfer/user.consoleproxy.key

Stellen Sie sicher, dass der Besitzer der Zertifikatsdateien über Lese- und Schreibberechtigungen verfügt.

chmod 0750 /opt/vmware/vcloud-director/data/transfer/user.http.pem
chmod 0750 /opt/vmware/vcloud-director/data/transfer/user.http.key
chmod 0750 /opt/vmware/vcloud-director/data/transfer/user.consoleproxy.pem
chmod 0750 /opt/vmware/vcloud-director/data/transfer/user.consoleproxy.key

Führen Sie auf der primären Appliance den Befehl zum Importieren der neuen signierten Zertifikate in die VMware Cloud Director-Instanz aus.

Mit diesen Befehlen wird auch die Datei responses.properties in der Übertragungsfreigabe aktualisiert. Dabei werden die Variablen user.certificate.path, user.key.path, user.consoleproxy.certificate.path und user.consoleproxy.key.path so geändert, dass sie auf die Zertifikatsdateien in der Übertragungsfreigabe verweisen.

/opt/vmware/vcloud-director/bin/cell-management-tool certificates -j --cert /opt/vmware/vcloud-director/data/transfer/user.http.pem --key /opt/vmware/vcloud-director/data/transfer/user.http.key --key-password root-password
/opt/vmware/vcloud-director/bin/cell-management-tool certificates -p --cert /opt/vmware/vcloud-director/data/transfer/user.consoleproxy.pem --key /opt/vmware/vcloud-director/data/transfer/user.consoleproxy.key --key-password root-password

Damit die neuen signierten Zertifikate wirksam werden, starten Sie den vmware-vcd-Dienst auf der primären Appliance neu.
1. Führen Sie den Befehl aus, um den Dienst anzuhalten.
```
/opt/vmware/vcloud-director/bin/cell-management-tool cell -i $(service vmware-vcd pid cell) -s
```
2. Führen Sie den Befehl aus, um den Dienst zu starten.
```
systemctl start vmware-vcd
```
Stellen Sie die Appliances der Standby-Zelle und der Anwendungs-Zelle unter Verwendung des anfänglichen Root-Kennworts bereit, das mit dem Schlüsselkennwort übereinstimmt.

Ergebnisse

Alle neu bereitgestellten Appliances, die denselben Speicher des gemeinsam genutzten NFS-Übertragungsdiensts verwenden, sind mit denselben signierten SSL-Platzhalterzertifikaten konfiguriert, die von der primären Appliance verwendet werden.