Wenn Sie über einen eigenen privaten Schlüssel und von einer Zertifizierungsstelle signierte Zertifikatsdateien verfügen, bietet der Import dieser Dateien in Ihre VMware Cloud Director-Umgebung die höchste Vertrauensstellung für die SSL-Kommunikation und hilft Ihnen, die Verbindungen innerhalb Ihrer Cloud-Infrastruktur zu sichern. Das Verfahren für Version 10.4 umfasst Konsolen-Proxy-Einstellungen.

Wenn Sie private Schlüssel und von einer Zertifizierungsstelle signierte Zertifikate in die VMware Cloud Director-Appliance 10.4.1 oder höher importieren möchten, finden Sie weitere Informationen unter Importieren von privaten Schlüsseln und den von einer Zertifizierungsstelle signierten SSL-Zertifikaten in die VMware Cloud Director-Appliance 10.4.1 und höher.

Ab VMware Cloud Director 10.4 werden sowohl der Konsolen-Proxy-Datenverkehr als auch die HTTPS-Kommunikation über den Standardport 443 übertragen. Sie benötigen kein separates Zertifikat für den Konsolen-Proxy.

Hinweis: VMware Cloud Director 10.4.1 und höher unterstützen die Legacy-Implementierung der Konsolen-Proxy-Funktion nicht.

Wenn Sie die Legacy-Implementierung mit einem dedizierten Konsolen-Proxy-Access-Point in VMware Cloud Director 10.4 verwenden möchten, können Sie die Funktion LegacyConsoleProxy über die Einstellung des Menüs „Funktions-Flags“ auf der Registerkarte Administration im Service Provider Admin Portal aktivieren. Um die Funktion LegacyConsoleProxy zu aktivieren, müssen die Konsolen-Proxy-Einstellungen in einer früheren Version konfiguriert und durch ein VMware Cloud Director-Upgrade übertragen worden sein. Nach dem Aktivieren oder Deaktivieren der Funktion müssen Sie die Zellen neu starten. Wenn Sie die Legacy-Konsolen-Proxy-Implementierung aktivieren, muss der Konsolen-Proxy über ein separates Zertifikat verfügen.

Voraussetzungen

  • Um sicherzustellen, dass dies das für Ihre Umgebung erforderliche Verfahren ist, machen Sie sich mit Erstellen und Verwalten von SSL-Zertifikaten der VMware Cloud Director-Appliance vertraut.

  • Kopieren Sie Ihre Zwischenzertifikate, das Root-CA-Zertifikat und das von einer Zertifizierungsstelle signierte HTTPS-Dienstzertifikat in die Appliance.
  • Wenn die Legacy-Konsolen-Proxy-Implementierung aktiviert ist, finden Sie weitere Informationen in den Angaben zur VMware Cloud Director-Version in diesem Dokument.

Prozedur

  1. Melden Sie sich direkt oder mithilfe eines SSH-Clients bei der Konsole der VMware Cloud Director-Appliance als root an.
  2. Sichern Sie die vorhandenen Zertifikatsdateien.
    Option Bezeichnung
    Upgrade der Umgebung von VMware Cloud Director 10.2.
    1. Notieren Sie sich die Pfade der vorhandenen http- und consoleproxy-Zertifikatsdateien aus /opt/vmware/vcloud-director/etc/global.properties mithilfe der Eigenschaften user.http.pem, user.http.key, user.consoleproxy.pem und user.consoleproxy.key.
    2. Verwenden Sie zum Sichern der vorhandenen Zertifikatsdateien die Pfade aus Schritt 2a, um die folgenden Befehle auszuführen.
      cp path_to_the_user.http.pem /opt/vmware/vcloud-director/etc/user.http.pem.original
cp path_to_the_user.http.key /opt/vmware/vcloud-director/etc/user.http.key.original
cp path_to_the_user.consoleproxy.pem /opt/vmware/vcloud-director/etc/user.consoleproxy.pem.original
cp path_to_the_user.consoleproxy.key /opt/vmware/vcloud-director/etc/user.consoleproxy.key.original
    Upgrade der Umgebung von VMware Cloud Director 10.3, oder Umgebung ist eine neue Bereitstellung. Führen Sie zum Sichern der vorhandenen Zertifikatsdateien folgende Befehle aus.
    cp /opt/vmware/vcloud-director/etc/user.http.pem /opt/vmware/vcloud-director/etc/user.http.pem.original
cp /opt/vmware/vcloud-director/etc/user.http.key /opt/vmware/vcloud-director/etc/user.http.key.original
cp /opt/vmware/vcloud-director/etc/user.consoleproxy.pem /opt/vmware/vcloud-director/etc/user.consoleproxy.pem.original
cp /opt/vmware/vcloud-director/etc/user.consoleproxy.key /opt/vmware/vcloud-director/etc/user.consoleproxy.key.original
  3. Kopieren und ersetzen Sie den Schlüssel und die Zertifikatsdateien, die Sie unter /opt/vmware/vcloud-director/etc/user.http.pem, /opt/vmware/vcloud-director/etc/user.http.key, /opt/vmware/vcloud-director/etc/user.consoleproxy.pem und /opt/vmware/vcloud-director/etc/user.consoleproxy.key importieren müssen.
  4. Wenn Sie über Zwischenzertifikate verfügen, führen Sie den folgenden Befehl aus, um das von der Stammzertifizierungsstelle signierte Zertifikat und alle Zwischenzertifikate an das HTTP- und Konsolenproxyzertifikat anzuhängen. 
    cat intermediate-certificate-file-1.cer intermediate-certificate-file-2.cer root-CA-certificate.cer >> /opt/vmware/vcloud-director/etc/user.http.pem

cat intermediate-certificate-file-1.cer intermediate-certificate-file-2.cer root-CA-certificate.cer >> /opt/vmware/vcloud-director/etc/user.consoleproxy.pem

    Wobei es sich bei intermediate-certificate-file-1.cer und intermediate-certificate-file-2.cer um die Namen der Zwischenzertifikate und bei root-CA-certificate.cer um den Namen des von der Stammzertifizierungsstelle signierten Zertifikats handelt.

  5. Führen Sie den Befehl aus, um die signierten Zertifikate in die VMware Cloud Director-Instanz zu importieren. 
    /opt/vmware/vcloud-director/bin/cell-management-tool certificates -j --cert /opt/vmware/vcloud-director/etc/user.http.pem --key /opt/vmware/vcloud-director/etc/user.http.key --key-password imported_key_password
/opt/vmware/vcloud-director/bin/cell-management-tool certificates -p --cert /opt/vmware/vcloud-director/etc/user.consoleproxy.pem --key /opt/vmware/vcloud-director/etc/user.consoleproxy.key --key-password imported_key_password
  6. Damit die von einer Zertifizierungsstelle signierten Zertifikate wirksam werden, starten Sie den vmware-vcd-Dienst auf der VMware Cloud Director-Appliance neu.
    1. Führen Sie den Befehl aus, um den Dienst anzuhalten. 
      /opt/vmware/vcloud-director/bin/cell-management-tool cell -i $(service vmware-vcd pid cell) -s
    2. Führen Sie den Befehl aus, um den Dienst zu starten. 
      systemctl start vmware-vcd

Nächste Maßnahme