Verwenden Sie den Befehl generate-certs des Zellenverwaltungstools, um selbstsignierte SSL-Zertifikate für den HTTPS-Endpoint zu generieren.
Jede VMware Cloud Director-Servergruppe muss einen Endpoint für den HTTPS-Dienst unterstützen. Ab VMware Cloud Director 10.4 werden der Konsolen-Proxy-Datenverkehr und die HTTPS-Kommunikation über den Standardport 443 übertragen. Der HTTPS-Dienst-Endpoint unterstützt das VMware Cloud Director Service Provider Admin Portal, das VMware Cloud Director Tenant Portal, die VMware Cloud Director-API und den Konsolen-Proxy-Datenverkehr im Zusammenhang mit VMRC-Verbindungen zu vApps und VMs.
Wenn Sie für VMware Cloud Director 10.4 die Legacy-Implementierung mit einem dedizierten Konsolen-Proxy-Access-Point verwenden möchten, können Sie die Funktion LegacyConsoleProxy über das Einstellungsmenü „Funktions-Flags“ auf der Registerkarte Verwaltung im Service Provider Admin Portal aktivieren. Um die Funktion LegacyConsoleProxy zu aktivieren, müssen die Konsolen-Proxy-Einstellungen in einer früheren Version konfiguriert und durch ein VMware Cloud Director-Upgrade übertragen worden sein. Nach dem Aktivieren oder Deaktivieren der Funktion müssen Sie die Zellen neu starten. Wenn Sie die Legacy-Konsolen-Proxy-Implementierung aktivieren, muss der Konsolen-Proxy über ein separates Zertifikat verfügen. Weitere Informationen finden Sie in der VMware Cloud Director 10.3-Version dieses Dokuments.
Mit dem Befehl generate-certs im Zellenverwaltungstool wird das in Erstellen von selbstsignierten SSL-Zertifikaten für VMware Cloud Director unter Linux beschriebene Verfahren automatisiert.
cell-management-tool generate-certs options
Option | Argument | Beschreibung |
---|---|---|
--help (-h) | Keines | Stellt eine Zusammenfassung der verfügbaren Befehle in dieser Kategorie bereit. |
--expiration (-x) | days-until-expiration | Die Anzahl der Tage bis zum Ablauf der Zertifikate. Standardmäßig 365. |
--issuer (-i) | name=value [, name=value, ...] | X.509-DN (Distinguished Name) des Zertifikatsherausgebers. Die Standardeinstellung lautet CN=FQDN . Dabei ist FQDN der vollqualifizierte Domänenname der Zelle bzw. ihre IP-Adresse, falls kein vollqualifizierter Domänenname vorliegt. Wenn Sie mehrere Attribut-Wert-Paare angeben, trennen Sie sie durch Komma und schließen Sie das gesamte Argument in Anführungszeichen ein. |
--key-size (-s) | key-size | Die Größe des Schlüsselpaars als Ganzzahlwert der Bits. Die Standardeinstellung lautet 2048. Schlüssel mit einer Länge von weniger als 1024 werden entsprechend NIST Special Publication 800-131A nicht mehr unterstützt. |
--key-password | key-password | Kennwort für den generierten privaten Schlüssel. |
--cert | cert | Pfad zur generierten PEM-codierten X.509-Zertifikatsdatei. |
--key | key | Pfad zur generierten PEM-codierten privaten PKCS #8-Schlüsseldatei. |
Erstellen selbstsignierter Zertifikate
In beiden Beispielen werden eine Zertifikatsdatei unter /tmp/cell.pem und eine entsprechende Privatschlüsseldatei unter /tmp/cell.key mit dem Kennwort kpw
vorausgesetzt. Diese Dateien werden erstellt, wenn sie noch nicht vorhanden sind.
CN=Unknown
festgelegt. Für das Zertifikat wird die Standardschlüssellänge von 2048-Bit verwendet und das Zertifikat läuft ein Jahr nach der Erstellung ab.
[root@cell1 /opt/vmware/vcloud-director/bin]# ./cell-management-tool generate-certs --cert /tmp/cell.pem --key /tmp/cell.key --key-password kpw New certificate created and written to /tmp/cell.pem New private key created and written to /tmp/cell.key
CN=Test, L=London, C=GB
festgelegt. Das neue Zertifikat für die HTTPS-Verbindung hat einen 4096 Bit umfassenden Schlüssel und läuft 90 Tage nach seiner Erstellung ab.
[root@cell1 /opt/vmware/vcloud-director/bin]# ./cell-management-tool generate-certs --cert /tmp/cell.pem --key /tmp/cell.key --key-password kpw -i "CN=Test, L=London, C=GB" -s 4096 -x 90 New certificate created and written to /tmp/cell.pem New private key created and written to /tmp/cell.key
vcloud.vcloud
gelesen werden können. Das Installationsprogramm von
VMware Cloud Director erstellt diesen Benutzer und diese Gruppe.