Das Erstellen und Importieren der von einer Zertifizierungsstelle signierten Zertifikate bietet die höchste Vertrauensebene für die SSL-Kommunikation und hilft Ihnen, die Verbindungen innerhalb Ihrer Cloud zu sichern.

Jeder VMware Cloud Director-Server muss zwei unterschiedliche SSL-Endpoints unterstützen – einen für die HTTPS- und einen für die Konsolen-Proxy-Kommunikation.

In der VMware Cloud Director-Appliance nutzen diese beiden Endpoints dieselbe IP-Adresse oder denselben Hostnamen, verwenden jedoch zwei unterschiedliche Ports: 443 für die HTTPS-Kommunikation und 8443 für die Konsolen-Proxy-Kommunikation. Sie können dasselbe Zertifikat für beide Endpoints verwenden, z. B. mithilfe eines Platzhalterzertifikats.

Bei den Zertifikaten für beide Endpoints müssen sowohl ein definierter X.500-Name als auch eine X.509 Subject Alternative Name-Erweiterung angegeben werden.

Wenn Sie bereits über einen eigenen privaten Schlüssel und eine von einer Zertifizierungsstelle signierte Zertifikatsdatei verfügen, befolgen Sie die in Importieren von privaten Schlüsseln und den von einer Zertifizierungsstelle signierten SSL-Zertifikaten in die VMware Cloud Director-Appliance beschriebenen Schritte.

Wichtig: Bei der Bereitstellung generiert die VMware Cloud Director-Appliance selbstsignierte Zertifikate mit einer Schlüsselgröße von 2.048 Bit. Sie müssen die Sicherheitsanforderungen Ihrer Installation überprüfen, bevor Sie eine geeignete Schlüsselgröße auswählen. Schlüssel mit einer Länge von weniger als 1024 Bit werden entsprechend NIST Special Publication 800-131A nicht mehr unterstützt.

Das in diesem Verfahren verwendete Kennwort für den privaten Schlüssel ist das root-Benutzerkennwort und wird als root_password dargestellt.

Prozedur

  1. Melden Sie sich direkt oder mithilfe eines SSH-Clients bei der Konsole der VMware Cloud Director-Appliance als root an.
  2. Je nach den Anforderungen Ihrer Umgebung wählen Sie eine der folgenden Optionen aus.
    Wenn Sie die VMware Cloud Director-Appliance bereitstellen, generiert VMware Cloud Director automatisch selbstsignierte Zertifikate mit einer Schlüsselgröße von 2048 Bit für den HTTPS- und den Konsolen-Proxy-Dienst.
    • Wenn Ihre Zertifizierungsstelle die Zertifikate signieren soll, die bei der Bereitstellung generiert werden, fahren Sie mit Schritt 5 fort.
    • Wenn Sie neue Zertifikate mit benutzerdefinierten Optionen generieren möchten, z. B. eine größere Schlüsselgröße, fahren Sie mit Schritt 3 fort.
  3. Führen Sie den Befehl aus, um die vorhandenen Zertifikatsdateien zu sichern.
    cp /opt/vmware/vcloud-director/etc/user.http.pem /opt/vmware/vcloud-director/etc/user.http.pem.original
    cp /opt/vmware/vcloud-director/etc/user.http.key /opt/vmware/vcloud-director/etc/user.http.key.original
    cp /opt/vmware/vcloud-director/etc/user.consoleproxy.pem /opt/vmware/vcloud-director/etc/user.consoleproxy.pem.original
    cp /opt/vmware/vcloud-director/etc/user.consoleproxy.key /opt/vmware/vcloud-director/etc/user.consoleproxy.key.original
  4. Führen Sie die folgenden Befehle zum Erstellen von Schlüsselpaaren aus einem öffentlichen und einem privaten Schlüssel für den HTTPS- und den Konsolen-Proxy-Dienst aus.
    /opt/vmware/vcloud-director/bin/cell-management-tool generate-certs --cert /opt/vmware/vcloud-director/etc/user.http.pem --key /opt/vmware/vcloud-director/etc/user.http.key --key-password root-password
    /opt/vmware/vcloud-director/bin/cell-management-tool generate-certs --cert /opt/vmware/vcloud-director/etc/user.consoleproxy.pem --key /opt/vmware/vcloud-director/etc/user.consoleproxy.key --key-password root-password

    Die Befehle erstellen oder überschreiben die Zertifikatsdatei mithilfe der Standardwerte und erstellen oder überschreiben die Privatschlüsseldatei mit den angegebenen Kennwörtern. Je nach DNS-Konfiguration Ihrer Umgebung ist der CN (Common Name, Allgemeiner Name) des Ausstellers für jeden Dienst entweder auf die IP-Adresse oder den FQDN festgelegt. Für das Zertifikat wird die Standardschlüssellänge von 2048-Bit verwendet und das Zertifikat läuft ein Jahr nach der Erstellung ab.

    Wichtig: Aufgrund von Konfigurationsbeschränkungen in der VMware Cloud Director-Appliance müssen Sie die Speicherorte /opt/vmware/vcloud-director/etc/user.http.pem und /opt/vmware/vcloud-director/etc/user.http.key für die HTTPS-Zertifikatsdateien sowie /opt/vmware/vcloud-director/etc/user.consoleproxy.pem und /opt/vmware/vcloud-director/etc/user.consoleproxy.key für die Konsolen-Proxy-Zertifikatsdateien verwenden.
    Hinweis: Sie verwenden das root-Kennwort der Appliance als Schlüsselkennwörter.
  5. Erstellen Sie eine Zertifikatsignieranforderung (CSR) für den HTTPS-Dienst und für den Konsolen-Proxy-Dienst.
    Wichtig: Die VMware Cloud Director-Appliance nutzt dieselbe IP-Adresse und denselben Hostnamen für den HTTPS-Dienst und den Konsolen-Proxy-Dienst. Aus diesem Grund müssen die CSR-Erstellungsbefehle denselben DNS und dieselben IP-Adressen für das SAN (Subject Alternative Name)-Erweiterungsargument aufweisen.
    1. Erstellen Sie eine Zertifikatsignieranforderung in der Datei http.csr.
      openssl req -new -key /opt/vmware/vcloud-director/etc/user.http.key -reqexts SAN -config <(cat /etc/ssl/openssl.cnf <(printf "\n[SAN]\nsubjectAltName=DNS:vcd2.example.com,DNS:vcd2,IP:10.100.101.10\n")) -out http.csr
    2. Erstellen Sie eine Zertifikatsignieranforderung in der Datei consoleproxy.csr.
      openssl req -new -key /opt/vmware/vcloud-director/etc/user.consoleproxy.key -reqexts SAN -config <(cat /etc/ssl/openssl.cnf <(printf "\n[SAN]\nsubjectAltName=DNS:vcd2.example.com,DNS:vcd2,IP:10.100.101.10\n")) -out consoleproxy.csr
  6. Senden Sie die Zertifikatsignieranforderungen an die Zertifizierungsstelle.
    Wenn Ihre Zertifizierungsstelle die Angabe eines Webservertyps verlangt, geben Sie Jakarta Tomcat an.
    Sie erhalten die von der Zertifizierungsstelle signierten Zertifikate.
  7. Kopieren Sie die von der Zertifizierungsstelle signierten Zertifikate, das Stammzertifikat der Zertifizierungsstelle und alle Zwischenzertifikate in die VMware Cloud Director-Appliance und führen Sie die Befehle aus, um die vorhandenen Zertifikate zu überschreiben.
    1. Führen Sie den Befehl aus, um das vorhandene user.http.pem-Zertifikat auf der Appliance mit Ihrer von der Zertifizierungsstelle signierten Version zu überschreiben.
      cp ca-signed-http.pem /opt/vmware/vcloud-director/etc/user.http.pem
    2. Führen Sie den Befehl aus, um die vorhandene user.consoleproxy.pem auf der Appliance mit Ihrer von der Zertifizierungsstelle signierten Version zu überschreiben.
      cp ca-signed-consoleproxy.pem /opt/vmware/vcloud-director/etc/user.consoleproxy.pem
  8. Führen Sie den Befehl aus, um das von der Stammzertifizierungsstelle signierte Zertifikat und alle Zwischenzertifikate an das HTTP- und Konsolenproxyzertifikat anzuhängen.
    cat intermediate-certificate-file-1.cer intermediate-certificate-file-2.cer root-CA-certificate.cer >> /opt/vmware/vcloud-director/etc/user.http.pem
    cat intermediate-certificate-file-1.cer intermediate-certificate-file-2.cer root-CA-certificate.cer >> /opt/vmware/vcloud-director/etc/user.consoleproxy.pem
  9. Führen Sie den Befehl aus, um die Zertifikate in die VMware Cloud Director-Instanz zu importieren.
    /opt/vmware/vcloud-director/bin/cell-management-tool certificates -j --cert /opt/vmware/vcloud-director/etc/user.http.pem --key /opt/vmware/vcloud-director/etc/user.http.key --key-password root_password
    /opt/vmware/vcloud-director/bin/cell-management-tool certificates -p --cert /opt/vmware/vcloud-director/etc/user.consoleproxy.pem --key /opt/vmware/vcloud-director/etc/user.consoleproxy.key --key-password root_password
  10. Damit die neuen signierten Zertifikate wirksam werden, starten Sie den vmware-vcd-Dienst auf der VMware Cloud Director-Appliance neu.
    1. Führen Sie den Befehl aus, um den Dienst anzuhalten.
      /opt/vmware/vcloud-director/bin/cell-management-tool cell -i $(service vmware-vcd pid cell) -s
    2. Führen Sie den Befehl aus, um den Dienst zu starten.
      systemctl start vmware-vcd

Nächste Maßnahme