Selbstsignierte Zertifikate bieten die Möglichkeit, SSL bequem für VMware Cloud Director in Umgebungen zu konfigurieren, in denen minimale Bedenken in Bezug auf Vertraulichkeit herrschen.

Ab VMware Cloud Director 10.4 werden sowohl der Konsolen-Proxy-Datenverkehr als auch die HTTPS-Kommunikation über den Standardport 443 übertragen. Sie benötigen kein separates Zertifikat für den Konsolen-Proxy.

Hinweis: VMware Cloud Director 10.4.1 und höher unterstützen die Legacy-Implementierung der Konsolen-Proxy-Funktion nicht.

Wenn Sie für VMware Cloud Director 10.4 die Legacy-Implementierung mit einem dedizierten Konsolen-Proxy-Access-Point verwenden möchten, können Sie die Funktion LegacyConsoleProxy über das Einstellungsmenü „Funktions-Flags“ auf der Registerkarte Verwaltung im Service Provider Admin Portal aktivieren. Um die Funktion LegacyConsoleProxy zu aktivieren, müssen die Konsolen-Proxy-Einstellungen in einer früheren Version konfiguriert und durch ein VMware Cloud Director-Upgrade übertragen worden sein. Nach dem Aktivieren oder Deaktivieren der Funktion müssen Sie die Zellen neu starten. Wenn Sie die Legacy-Konsolen-Proxy-Implementierung aktivieren, muss der Konsolen-Proxy über ein separates Zertifikat verfügen. Weitere Informationen finden Sie in der VMware Cloud Director 10.3-Version dieses Dokuments.

Sie verwenden das cell-management-tool, um die selbstsignierten SSL-Zertifikate zu erstellen. Das Dienstprogramm cell-management-tool wird vor dem Ausführen des Konfigurations-Agent und nach dem Ausführen der Installationsdatei auf der Zelle installiert. Weitere Informationen finden Sie im Installieren von VMware Cloud Director auf dem ersten Mitglied einer Servergruppe.

Wichtig: In diesen Beispielen wird eine Schlüssellänge von 2048 Bit angegeben, Sie sollten jedoch die Sicherheitsanforderungen Ihrer Installation zunächst überprüfen, um die geeignete Schlüssellänge auszuwählen. Schlüssel mit einer Länge von weniger als 1024 Bit werden entsprechend NIST Special Publication 800-131A nicht mehr unterstützt.

Prozedur

  1. Melden Sie sich direkt oder mithilfe eines SSH-Clients beim Betriebssystem des VMware Cloud Director-Servers als root an.
  2. Erstellen Sie ein Schlüsselpaar aus einem öffentlichen und einem privaten Schlüssel. 
    /opt/vmware/vcloud-director/bin/cell-management-tool generate-certs --cert cert.pem --key cert.key --key-password passwd

    Mit dem Befehl wird das Zertifikat cert.pem erstellt, das den privaten Schlüssel cert.key und das Kennwort passwd aufweist. Das cell-management-tool erstellt die Zertifikate mithilfe der Standardwerte des Befehls. Je nach DNS-Konfiguration Ihrer Umgebung ist der CN des Ausstellers für jeden Dienst entweder auf die IP-Adresse oder den FQDN festgelegt. Für das Zertifikat wird die Standardschlüssellänge von 2048-Bit verwendet und das Zertifikat läuft ein Jahr nach der Erstellung ab.

    Wichtig: Die Zertifikats- und die Privatschlüsseldatei und das Verzeichnis, in dem sie gespeichert sind, müssen vom Benutzer vcloud.vcloud gelesen werden können. Das Installationsprogramm von VMware Cloud Director erstellt diesen Benutzer und diese Gruppe.

Nächste Maßnahme

Notieren Sie sich die Pfadnamen des Zertifikats und des privaten Schlüssels. Sie benötigen diese Pfadnamen, wenn Sie das Konfigurationsskript zum Erstellen der Netzwerk- und Datenbankverbindungen für die VMware Cloud Director-Zelle ausführen. Weitere Informationen finden Sie unter Konfigurieren der Netzwerk- und Datenbankverbindungen.