Erstellen und Importieren der von einer Zertifizierungsstelle signierten SSL-Zertifikate für VMware Cloud Director 10.4

Das Erstellen und Importieren der von einer Zertifizierungsstelle signierten Zertifikate bietet die höchste Vertrauensebene für die SSL-Kommunikation und hilft Ihnen, die Verbindungen innerhalb Ihrer Cloud zu sichern. Das Verfahren für Version 10.4 umfasst Konsolen-Proxy-Einstellungen.

Informationen zum Erstellen und Importieren der von einer Zertifizierungsstelle signierten SSL-Zertifikate für VMware Cloud Director 10.4.1 oder höher finden Sie unter Erstellen und Importieren von CA-signierten SSL-Zertifikaten für VMware Cloud Director-Appliance 10.4.1 und höher.

Wichtig: Bei der Bereitstellung generiert die VMware Cloud Director-Appliance selbstsignierte Zertifikate mit einer Schlüsselgröße von 2.048 Bit. Sie müssen die Sicherheitsanforderungen Ihrer Installation überprüfen, bevor Sie eine geeignete Schlüsselgröße auswählen. Schlüssel mit einer Länge von weniger als 1024 Bit werden entsprechend NIST Special Publication 800-131A nicht mehr unterstützt.

Das in diesem Verfahren verwendete Kennwort für den privaten Schlüssel ist das root-Benutzerkennwort und wird als root_password dargestellt.

Ab VMware Cloud Director 10.4 werden sowohl der Konsolen-Proxy-Datenverkehr als auch die HTTPS-Kommunikation über den Standardport 443 übertragen.

Hinweis: VMware Cloud Director 10.4.1 und höher unterstützen die Legacy-Implementierung der Konsolen-Proxy-Funktion nicht.

Bei VMware Cloud Director 10.4 können Sie die Funktion LegacyConsoleProxy über die Einstellungen des Menüs Funktions-Flags auf der Registerkarte Administration aktivieren. Wenn Sie LegacyConsoleProxy aktivieren, muss jede VMware Cloud Director-Zelle zwei verschiedene SSL-Endpoints unterstützen, einen für HTTPS und einen für die Konsolen-Proxy-Kommunikation.

Dieses Verfahren enthält Konsolen-Proxy-Einstellungen, da die VMware Cloud Director-Appliance 10.4 die optionale Aktivierung der Funktion LegacyConsoleProxy unterstützen muss.

Voraussetzungen

Um sicherzustellen, dass dies das für Ihre Umgebung erforderliche Verfahren ist, machen Sie sich mit Erstellen und Verwalten von SSL-Zertifikaten der VMware Cloud Director-Appliance vertraut.

Prozedur

Melden Sie sich direkt oder mithilfe eines SSH-Clients bei der Konsole der VMware Cloud Director-Appliance als root an.
Je nach den Anforderungen Ihrer Umgebung wählen Sie eine der folgenden Optionen aus.
Wenn Sie die VMware Cloud Director-Appliance bereitstellen, generiert VMware Cloud Director automatisch selbstsignierte Zertifikate mit einer Schlüsselgröße von 2048 Bit für den HTTPS- und den Konsolen-Proxy-Dienst.
- Wenn Ihre Zertifizierungsstelle die Zertifikate signieren soll, die bei der Bereitstellung generiert werden, fahren Sie mit Schritt 5 fort.
- Wenn Sie neue Zertifikate mit benutzerdefinierten Optionen generieren möchten, z. B. eine größere Schlüsselgröße, fahren Sie mit Schritt 3 fort.

Führen Sie den Befehl aus, um die vorhandenen Zertifikatsdateien zu sichern.

cp /opt/vmware/vcloud-director/etc/user.http.pem /opt/vmware/vcloud-director/etc/user.http.pem.original
cp /opt/vmware/vcloud-director/etc/user.http.key /opt/vmware/vcloud-director/etc/user.http.key.original
cp /opt/vmware/vcloud-director/etc/user.consoleproxy.pem /opt/vmware/vcloud-director/etc/user.consoleproxy.pem.original
cp /opt/vmware/vcloud-director/etc/user.consoleproxy.key /opt/vmware/vcloud-director/etc/user.consoleproxy.key.original

Führen Sie die folgenden Befehle zum Erstellen von Schlüsselpaaren aus einem öffentlichen und einem privaten Schlüssel für den HTTPS- und den Konsolen-Proxy-Dienst aus.
```
/opt/vmware/vcloud-director/bin/cell-management-tool generate-certs --cert /opt/vmware/vcloud-director/etc/user.http.pem --key /opt/vmware/vcloud-director/etc/user.http.key --key-password root-password
/opt/vmware/vcloud-director/bin/cell-management-tool generate-certs --cert /opt/vmware/vcloud-director/etc/user.consoleproxy.pem --key /opt/vmware/vcloud-director/etc/user.consoleproxy.key --key-password root-password
```
Die Befehle erstellen oder überschreiben die Zertifikatsdatei mithilfe der Standardwerte und erstellen oder überschreiben die Privatschlüsseldatei mit den angegebenen Kennwörtern. Je nach DNS-Konfiguration Ihrer Umgebung ist der CN (Common Name, Allgemeiner Name) des Ausstellers für jeden Dienst entweder auf die IP-Adresse oder den FQDN festgelegt. Für das Zertifikat wird die Standardschlüssellänge von 2048-Bit verwendet und das Zertifikat läuft ein Jahr nach der Erstellung ab.

Wichtig: Aufgrund von Konfigurationsbeschränkungen in der VMware Cloud Director-Appliance müssen Sie die Speicherorte /opt/vmware/vcloud-director/etc/user.http.pem und /opt/vmware/vcloud-director/etc/user.http.key für die HTTPS-Zertifikatsdateien sowie /opt/vmware/vcloud-director/etc/user.consoleproxy.pem und /opt/vmware/vcloud-director/etc/user.consoleproxy.key für die Konsolen-Proxy-Zertifikatsdateien verwenden.

Hinweis: Sie verwenden das root-Kennwort der Appliance als Schlüsselkennwörter.
Erstellen Sie eine Zertifikatsignieranforderung (CSR) für den HTTPS-Dienst und für den Konsolen-Proxy-Dienst.

Wichtig: Die VMware Cloud Director-Appliance nutzt dieselbe IP-Adresse und denselben Hostnamen für den HTTPS-Dienst und den Konsolen-Proxy-Dienst. Aus diesem Grund müssen die CSR-Erstellungsbefehle denselben DNS und dieselben IP-Adressen für das SAN (Subject Alternative Name)-Erweiterungsargument aufweisen.
1. Erstellen Sie eine Zertifikatsignieranforderung in der Datei http.csr.
```
openssl req -new -key /opt/vmware/vcloud-director/etc/user.http.key -reqexts SAN -config <(cat /etc/ssl/openssl.cnf <(printf "\n[SAN]\nsubjectAltName=DNS:vcd2.example.com,DNS:vcd2,IP:10.100.101.10\n")) -out http.csr
```
2. Erstellen Sie eine Zertifikatsignieranforderung in der Datei consoleproxy.csr.
```
openssl req -new -key /opt/vmware/vcloud-director/etc/user.consoleproxy.key -reqexts SAN -config <(cat /etc/ssl/openssl.cnf <(printf "\n[SAN]\nsubjectAltName=DNS:vcd2.example.com,DNS:vcd2,IP:10.100.101.10\n")) -out consoleproxy.csr
```
Senden Sie die Zertifikatsignieranforderungen an die Zertifizierungsstelle.
Wenn Ihre Zertifizierungsstelle die Angabe eines Webservertyps verlangt, geben Sie Jakarta Tomcat an.

Sie erhalten die von der Zertifizierungsstelle signierten Zertifikate.
Kopieren Sie die von der Zertifizierungsstelle signierten Zertifikate, das Stammzertifikat der Zertifizierungsstelle und alle Zwischenzertifikate in die VMware Cloud Director-Appliance und führen Sie die Befehle aus, um die vorhandenen Zertifikate zu überschreiben.
1. Führen Sie den Befehl aus, um das vorhandene user.http.pem-Zertifikat auf der Appliance mit Ihrer von der Zertifizierungsstelle signierten Version zu überschreiben.
```
cp ca-signed-http.pem /opt/vmware/vcloud-director/etc/user.http.pem
```
2. Führen Sie den Befehl aus, um die vorhandene user.consoleproxy.pem auf der Appliance mit Ihrer von der Zertifizierungsstelle signierten Version zu überschreiben.
```
cp ca-signed-consoleproxy.pem /opt/vmware/vcloud-director/etc/user.consoleproxy.pem
```

Führen Sie den folgenden Befehl aus, um alle Zwischenzertifikate an das HTTP- und Konsolen-Proxy-Zertifikat anzuhängen.

cat intermediate-certificate-file-1.cer intermediate-certificate-file-2.cer root-CA-certificate.cer >> /opt/vmware/vcloud-director/etc/user.http.pem
cat intermediate-certificate-file-1.cer intermediate-certificate-file-2.cer root-CA-certificate.cer >> /opt/vmware/vcloud-director/etc/user.consoleproxy.pem

Führen Sie den folgenden Befehl aus, um die Zertifikate in die VMware Cloud Director-Instanz zu importieren.

/opt/vmware/vcloud-director/bin/cell-management-tool certificates -j --cert /opt/vmware/vcloud-director/etc/user.http.pem --key /opt/vmware/vcloud-director/etc/user.http.key --key-password root_password
/opt/vmware/vcloud-director/bin/cell-management-tool certificates -p --cert /opt/vmware/vcloud-director/etc/user.consoleproxy.pem --key /opt/vmware/vcloud-director/etc/user.consoleproxy.key --key-password root_password

Damit die neuen signierten Zertifikate wirksam werden, starten Sie den vmware-vcd-Dienst auf der VMware Cloud Director-Appliance neu.
1. Führen Sie den Befehl aus, um den Dienst anzuhalten.
```
/opt/vmware/vcloud-director/bin/cell-management-tool cell -i $(service vmware-vcd pid cell) -s
```
2. Führen Sie den Befehl aus, um den Dienst zu starten.
```
systemctl start vmware-vcd
```

Nächste Maßnahme

Wenn Sie Platzhalterzertifikate verwenden, befolgen Sie das Bereitstellen der VMware Cloud Director-Appliance 10.4.1 oder höher mit einem signierten Platzhalterzertifikat für die HTTPS-Kommunikation-Verfahren, damit alle zukünftigen Appliance-Instanzen, die Sie zum Cluster hinzufügen, dieselben signierten Platzhalterzertifikate verwenden.
Wiederholen Sie diesen Vorgang auf allen VMware Cloud Director-Appliance-Instanzen in der Servergruppe.
Weitere Informationen zum Ersetzen der Zertifikate für die eingebettete PostgreSQL-Datenbank und die Verwaltungsschnittstelle der VMware Cloud Director-Appliance finden Sie unter Ersetzen eines selbstsignierten eingebetteten PostgreSQL- und VMware Cloud Director-Appliance-Verwaltungsbenutzeroberflächen-Zertifikats.