Sie können die VMware Cloud Director-Appliance mit signierten Platzhalterzertifikaten bereitstellen. Sie können diese Zertifikate verwenden, um eine unbegrenzte Anzahl von Servern zu sichern, die Unterdomänen des im Zertifikat aufgeführten Domänennamens sind. Das Verfahren für Version 10.4 umfasst Konsolen-Proxy-Einstellungen.

Informationen zur Bereitstellung der VMware Cloud Director-Appliance 10.4.1 oder höher finden Sie unter Bereitstellen der VMware Cloud Director-Appliance 10.4.1 oder höher mit einem signierten Platzhalterzertifikat für die HTTPS-Kommunikation.

Bei der Bereitstellung von VMware Cloud Director-Appliances generiert VMware Cloud Director standardmäßig selbstsignierte Zertifikate und verwendet sie zum Konfigurieren der VMware Cloud Director-Zelle für die HTTPS-Kommunikation.

Ab VMware Cloud Director 10.4 werden sowohl der Konsolen-Proxy-Datenverkehr als auch die HTTPS-Kommunikation über den Standardport 443 übertragen. Sie benötigen kein separates Zertifikat für den Konsolen-Proxy.

Hinweis: VMware Cloud Director 10.4.1 und höher unterstützen die Legacy-Implementierung der Konsolen-Proxy-Funktion nicht.

Wenn Sie eine primäre Appliance erfolgreich bereitstellen, kopiert die Konfigurationslogik der Appliance die Datei responses.properties von der primären Appliance in den gemeinsamen Speicher des gemeinsam genutzten NFS-Übertragungsdienst unter /opt/vmware/vcloud-director/data/transfer. Andere für diese VMware Cloud Director-Servergruppe bereitgestellte Appliances verwenden diese Datei, um sich automatisch selbst zu konfigurieren. Die Datei responses.properties enthält einen Pfad zum SSL-Zertifikat und zum privaten Schlüssel. Dieser enthält seinerseits die automatisch generierten selbstsignierten Zertifikate user.certificate.path, den privaten Schlüssel user.key.path, die Konsolen-Proxy-Zertifikate user.consoleproxy.certificate.path und den Konsolen-Proxy-Privatschlüssel user.consoleproxy.key.path. Standardmäßig handelt es sich bei diesen Pfaden um PEM-Dateien, die für jede Appliance lokal sind.

Hinweis: Das Schlüsselkennwort, das Sie für die Zertifikate verwenden, muss mit dem anfänglichen root-Kennwort übereinstimmen, das bei der Bereitstellung aller Appliances verwendet wird.

Nachdem Sie die primäre Appliance bereitgestellt haben, können Sie sie für die Verwendung signierter Zertifikate neu konfigurieren. Weitere Informationen zum Erstellen der signierten Zertifikate finden Sie unter Erstellen und Importieren von CA-signierten SSL-Zertifikaten für VMware Cloud Director-Appliance 10.4.1 und höher.

Wenn es sich bei den signierten Zertifikaten, die Sie für die primäre VMware Cloud Director-Appliance verwenden, um signierte Platzhalterzertifikate handelt, können diese Zertifikate auf alle anderen Appliances in der VMware Cloud Director-Servergruppe, d. h. Standby-Zellen und VMware Cloud Director-Anwendungszellen, angewendet werden. Sie können die Bereitstellung der Appliance mit signierten Platzhalterzertifikaten für die HTTPS- und Konsolen-Proxy-Kommunikation verwenden, um die zusätzlichen Zellen mit den signierten Platzhalter-SSL-Zertifikaten zu konfigurieren.

Voraussetzungen

Um sicherzustellen, dass dies das für Ihre Umgebung erforderliche Verfahren ist, machen Sie sich mit Erstellen und Verwalten von SSL-Zertifikaten der VMware Cloud Director-Appliance vertraut.

Prozedur

  1. Kopieren Sie die Dateien user.http.pem, user.http.key, user.consoleproxy.pem und user.consoleproxy.key aus der primären Appliance in die Übertragungsfreigabe unter /opt/vmware/vcloud-director/data/transfer/.
  2. Ändern Sie die Besitzer- und die Gruppenberechtigungen in den Zertifikatsdateien in vcloud.
    chown vcloud.vcloud /opt/vmware/vcloud-director/data/transfer/user.http.pem
    chown vcloud.vcloud /opt/vmware/vcloud-director/data/transfer/user.http.key
    chown vcloud.vcloud /opt/vmware/vcloud-director/data/transfer/user.consoleproxy.pem
    chown vcloud.vcloud /opt/vmware/vcloud-director/data/transfer/user.consoleproxy.key
  3. Stellen Sie sicher, dass der Besitzer der Zertifikatsdateien über Lese- und Schreibberechtigungen verfügt.
    chmod 0750 /opt/vmware/vcloud-director/data/transfer/user.http.pem
    chmod 0750 /opt/vmware/vcloud-director/data/transfer/user.http.key
    chmod 0750 /opt/vmware/vcloud-director/data/transfer/user.consoleproxy.pem
    chmod 0750 /opt/vmware/vcloud-director/data/transfer/user.consoleproxy.key
  4. Führen Sie auf der primären Appliance den Befehl zum Importieren der neuen signierten Zertifikate in die VMware Cloud Director-Instanz aus.

    Mit diesen Befehlen wird auch die Datei responses.properties in der Übertragungsfreigabe aktualisiert. Dabei werden die Variablen user.certificate.path, user.key.path, user.consoleproxy.certificate.path und user.consoleproxy.key.path so geändert, dass sie auf die Zertifikatsdateien in der Übertragungsfreigabe verweisen.

    /opt/vmware/vcloud-director/bin/cell-management-tool certificates -j --cert /opt/vmware/vcloud-director/data/transfer/user.http.pem --key /opt/vmware/vcloud-director/data/transfer/user.http.key --key-password root-password
    /opt/vmware/vcloud-director/bin/cell-management-tool certificates -p --cert /opt/vmware/vcloud-director/data/transfer/user.consoleproxy.pem --key /opt/vmware/vcloud-director/data/transfer/user.consoleproxy.key --key-password root-password
  5. Damit die neuen signierten Zertifikate wirksam werden, starten Sie den vmware-vcd-Dienst auf der primären Appliance neu.
    1. Führen Sie den Befehl aus, um den Dienst anzuhalten.
      /opt/vmware/vcloud-director/bin/cell-management-tool cell -i $(service vmware-vcd pid cell) -s
    2. Führen Sie den Befehl aus, um den Dienst zu starten.
      systemctl start vmware-vcd
  6. Stellen Sie die Appliances der Standby-Zelle und der Anwendungs-Zelle unter Verwendung des anfänglichen Root-Kennworts bereit, das mit dem Schlüsselkennwort übereinstimmt.

Ergebnisse

Alle neu bereitgestellten Appliances, die denselben Speicher des gemeinsam genutzten NFS-Übertragungsdiensts verwenden, sind mit denselben signierten SSL-Platzhalterzertifikaten konfiguriert, die von der primären Appliance verwendet werden.