Verwenden Sie den Befehl generate-certs des Zellenverwaltungstools, um selbstsignierte SSL-Zertifikate für den HTTPS-Endpoint zu generieren.

Jede VMware Cloud Director-Servergruppe muss einen Endpoint für den HTTPS-Dienst unterstützen. Ab VMware Cloud Director 10.4 werden der Konsolen-Proxy-Datenverkehr und die HTTPS-Kommunikation über den Standardport 443 übertragen. Der HTTPS-Dienst-Endpoint unterstützt das VMware Cloud Director Service Provider Admin Portal, das VMware Cloud Director Tenant Portal, die VMware Cloud Director-API und den Konsolen-Proxy-Datenverkehr im Zusammenhang mit VMRC-Verbindungen zu vApps und VMs.

Hinweis: VMware Cloud Director 10.4.1 und höher unterstützen die Legacy-Implementierung der Konsolen-Proxy-Funktion nicht.

Wenn Sie für VMware Cloud Director 10.4 die Legacy-Implementierung mit einem dedizierten Konsolen-Proxy-Access-Point verwenden möchten, können Sie die Funktion LegacyConsoleProxy über das Einstellungsmenü „Funktions-Flags“ auf der Registerkarte Verwaltung im Service Provider Admin Portal aktivieren. Um die Funktion LegacyConsoleProxy zu aktivieren, müssen die Konsolen-Proxy-Einstellungen in einer früheren Version konfiguriert und durch ein VMware Cloud Director-Upgrade übertragen worden sein. Nach dem Aktivieren oder Deaktivieren der Funktion müssen Sie die Zellen neu starten. Wenn Sie die Legacy-Konsolen-Proxy-Implementierung aktivieren, muss der Konsolen-Proxy über ein separates Zertifikat verfügen. Weitere Informationen finden Sie in der VMware Cloud Director 10.3-Version dieses Dokuments.

Mit dem Befehl generate-certs im Zellenverwaltungstool wird das in Erstellen von selbstsignierten SSL-Zertifikaten für VMware Cloud Director unter Linux beschriebene Verfahren automatisiert.

Verwenden Sie zum Generieren neuer selbstsignierter SSL-Zertifikate eine Befehlszeile im folgenden Format:
cell-management-tool generate-certs options
Tabelle 1. Optionen des Zellenverwaltungstools und zugehörige Argumente, Unterbefehl generate-certs
Option Argument Beschreibung
--help (-h) Keines Stellt eine Zusammenfassung der verfügbaren Befehle in dieser Kategorie bereit.
--expiration (-x) days-until-expiration Die Anzahl der Tage bis zum Ablauf der Zertifikate. Standardmäßig 365.
--issuer (-i) name=value [, name=value, ...] X.509-DN (Distinguished Name) des Zertifikatsherausgebers. Die Standardeinstellung lautet CN=FQDN. Dabei ist FQDN der vollqualifizierte Domänenname der Zelle bzw. ihre IP-Adresse, falls kein vollqualifizierter Domänenname vorliegt. Wenn Sie mehrere Attribut-Wert-Paare angeben, trennen Sie sie durch Komma und schließen Sie das gesamte Argument in Anführungszeichen ein.
--key-size (-s) key-size Die Größe des Schlüsselpaars als Ganzzahlwert der Bits. Die Standardeinstellung lautet 2048. Schlüssel mit einer Länge von weniger als 1024 werden entsprechend NIST Special Publication 800-131A nicht mehr unterstützt.
--key-password key-password Kennwort für den generierten privaten Schlüssel.
--cert cert Pfad zur generierten PEM-codierten X.509-Zertifikatsdatei.
--key key Pfad zur generierten PEM-codierten privaten PKCS #8-Schlüsseldatei.

Erstellen selbstsignierter Zertifikate

In beiden Beispielen werden eine Zertifikatsdatei unter /tmp/cell.pem und eine entsprechende Privatschlüsseldatei unter /tmp/cell.key mit dem Kennwort kpw vorausgesetzt. Diese Dateien werden erstellt, wenn sie noch nicht vorhanden sind.

In diesem Beispiel werden die neuen Zertifikate mit den Standardwerten erstellt. Der Name des Ausstellers wird auf CN=Unknown festgelegt. Für das Zertifikat wird die Standardschlüssellänge von 2048-Bit verwendet und das Zertifikat läuft ein Jahr nach der Erstellung ab.
[root@cell1 /opt/vmware/vcloud-director/bin]# ./cell-management-tool generate-certs --cert /tmp/cell.pem --key /tmp/cell.key --key-password kpw
New certificate created and written to /tmp/cell.pem
New private key created and written to /tmp/cell.key
In diesem Beispiel werden auch benutzerdefinierte Werte für die Schlüssellänge und den Namen des Ausstellers angegeben. Der Name des Ausstellers wird auf CN=Test, L=London, C=GB festgelegt. Das neue Zertifikat für die HTTPS-Verbindung hat einen 4096 Bit umfassenden Schlüssel und läuft 90 Tage nach seiner Erstellung ab.
[root@cell1 /opt/vmware/vcloud-director/bin]# ./cell-management-tool generate-certs --cert /tmp/cell.pem --key /tmp/cell.key --key-password kpw -i "CN=Test, L=London, C=GB" -s 4096 -x 90
New certificate created and written to /tmp/cell.pem
New private key created and written to /tmp/cell.key
Wichtig: Die Zertifikats- und die Privatschlüsseldatei und das Verzeichnis, in dem sie gespeichert sind, müssen vom Benutzer vcloud.vcloud gelesen werden können. Das Installationsprogramm von VMware Cloud Director erstellt diesen Benutzer und diese Gruppe.