Das Erstellen und Importieren der von einer Zertifizierungsstelle signierten Zertifikate bietet die höchste Vertrauensebene für die SSL-Kommunikation und hilft Ihnen, die Verbindungen innerhalb Ihrer Cloud-Infrastruktur zu sichern.

Ab VMware Cloud Director 10.4 werden sowohl der Konsolen-Proxy-Datenverkehr als auch die HTTPS-Kommunikation über den Standardport 443 übertragen. Sie benötigen kein separates Zertifikat für den Konsolen-Proxy.

Hinweis: VMware Cloud Director 10.4.1 und höher unterstützen die Legacy-Implementierung der Konsolen-Proxy-Funktion nicht.

Wenn Sie für VMware Cloud Director 10.4 die Legacy-Implementierung mit einem dedizierten Konsolen-Proxy-Access-Point verwenden möchten, können Sie die Funktion LegacyConsoleProxy über das Einstellungsmenü „Funktions-Flags“ auf der Registerkarte Verwaltung im Service Provider Admin Portal aktivieren. Um die Funktion LegacyConsoleProxy zu aktivieren, müssen die Konsolen-Proxy-Einstellungen in einer früheren Version konfiguriert und durch ein VMware Cloud Director-Upgrade übertragen worden sein. Nach dem Aktivieren oder Deaktivieren der Funktion müssen Sie die Zellen neu starten. Wenn Sie die Legacy-Konsolen-Proxy-Implementierung aktivieren, muss der Konsolen-Proxy über ein separates Zertifikat verfügen. Weitere Informationen finden Sie in der VMware Cloud Director 10.3-Version dieses Dokuments.

Das Zertifikat für den HTTPS-Endpoint muss ein eindeutiger X.500-Name und eine X.509 Subject Alternative Name-Erweiterung enthalten.

Sie können ein von einer vertrauenswürdigen Zertifizierungsstelle (Certification Authority, CA) signiertes Zertifikat oder ein selbstsigniertes Zertifikat verwenden.

Sie verwenden das cell-management-tool, um das selbstsignierte SSL-Zertifikat zu erstellen. Das Dienstprogramm cell-management-tool wird vor dem Ausführen des Konfigurations-Agent und nach dem Ausführen der Installationsdatei auf der Zelle installiert. Weitere Informationen finden Sie im Installieren von VMware Cloud Director auf dem ersten Mitglied einer Servergruppe.

Wichtig: In diesen Beispielen wird eine Schlüssellänge von 2048 Bit angegeben, Sie sollten jedoch die Sicherheitsanforderungen Ihrer Installation zunächst überprüfen, um die geeignete Schlüssellänge auszuwählen. Schlüssel mit einer Länge von weniger als 1024 Bit werden entsprechend NIST Special Publication 800-131A nicht mehr unterstützt.

Voraussetzungen

Prozedur

  1. Melden Sie sich direkt oder mithilfe eines SSH-Clients beim Betriebssystem der VMware Cloud Director-Serverzelle als root an.
  2. Je nach den Anforderungen Ihrer Umgebung wählen Sie eine der folgenden Optionen aus.
    • Wenn Sie über einen eigenen privaten Schlüssel und von einer Zertifizierungsstelle signierte Zertifikatsdateien verfügen, fahren Sie mit Schritt 6 fort.
    • Wenn Sie neue Zertifikate mit benutzerdefinierten Optionen generieren möchten, z. B. eine größere Schlüsselgröße, fahren Sie mit Schritt 3 fort.
  3. Führen Sie den folgenden Befehl aus, um ein öffentliches und ein privates Schlüsselpaar für den HTTPS-Dienst zu erstellen. 
    /opt/vmware/vcloud-director/bin/cell-management-tool generate-certs --cert cert.pem --key cert.key --key-password key_password

    Der Befehl erstellt oder überschreibt eine Zertifikatsdatei unter cert.pem und die Privatschlüsseldatei unter cert.key mit dem angegebenen Kennwort. Zertifikate werden mithilfe der Standardwerte des Befehls erstellt. Je nach DNS-Konfiguration Ihrer Umgebung ist der CN des Ausstellers für jeden Dienst entweder auf die IP-Adresse oder den FQDN festgelegt. Für das Zertifikat wird die Standardschlüssellänge von 2048-Bit verwendet und das Zertifikat läuft ein Jahr nach der Erstellung ab.

    Wichtig: Die Zertifikats- und die Privatschlüsseldatei und das Verzeichnis, in dem sie gespeichert sind, müssen vom Benutzer vcloud.vcloud gelesen werden können. Der VMware Cloud Director und das Verzeichnis, in dem er gespeichert ist, müssen vom Benutzer vcloud.vcloud gelesen werden können. Das Installationsprogramm von VMware Cloud Director erstellt diesen Benutzer und diese Gruppe.
  4. Erstellen Sie eine Zertifikatsignieranforderung in der Datei cert.csr. 
    openssl req -new -key cert.key -reqexts SAN -config <(cat /etc/ssl/openssl.cnf <(printf "\n[SAN]\nsubjectAltName=DNS:vcd2.example.com,DNS:vcd2,IP:10.100.101.10\n")) -out cert.csr
  5. Senden Sie die Zertifikatsignieranforderungen an die Zertifizierungsstelle.
    Wenn Ihre Zertifizierungsstelle die Angabe eines Webservertyps verlangt, geben Sie Jakarta Tomcat an.
    Sie erhalten die von der Zertifizierungsstelle signierten Zertifikate.
  6. Führen Sie den Befehl aus, um das von der Root-Zertifizierungsstelle signierte Zertifikat und alle Zwischenzertifikate an das in Schritt 2 erzeugte Zertifikat anzuhängen. 
    cat intermediate-certificate-file-1.cer intermediate-certificate-file-2.cer root-CA-certificate.cer >> cert.pem
  7. Wiederholen Sie diesen Vorgang auf allen VMware Cloud Director-Servern in der Servergruppe.

Nächste Maßnahme

  • Wenn Sie Ihre VMware Cloud Director-Instanz noch nicht konfiguriert haben, führen Sie das Skript configure aus, um die Zertifikate in VMware Cloud Director zu importieren. Weitere Informationen finden Sie unter Konfigurieren der Netzwerk- und Datenbankverbindungen.
    Hinweis: Wenn Sie die Zertifikatsdatei cert.pem oder cert.key auf einem anderen Computer als dem Server erstellt haben, auf dem Sie die Liste der vollqualifizierten Domänennamen und der zugehörigen IP-Adressen erzeugt haben, kopieren Sie die Dateien cert.pem und cert.key nun auf diesen Server. Sie benötigen die Pfadnamen des Zertifikats und des privaten Schlüssels, wenn Sie das Konfigurationsskript ausführen.
  • Wenn Sie Ihre VMware Cloud Director-Instanz bereits installiert und konfiguriert haben, verwenden Sie den Befehl certificates des Zellenverwaltungstools zum Importieren der Zertifikate. Weitere Informationen finden Sie im Ersetzen von Zertifikaten für den HTTPS-Endpoint.