Wenn Sie über einen eigenen privaten Schlüssel und von einer Zertifizierungsstelle signierte Zertifikatsdateien verfügen, bietet der Import dieser Dateien in Ihre VMware Cloud Director-Umgebung die höchste Vertrauensstellung für die SSL-Kommunikation und hilft Ihnen, die Verbindungen innerhalb Ihrer Cloud-Infrastruktur zu sichern.

Ab VMware Cloud Director 10.4 werden sowohl der Konsolen-Proxy-Datenverkehr als auch die HTTPS-Kommunikation über den Standardport 443 übertragen. Sie benötigen kein separates Zertifikat für den Konsolen-Proxy.

Hinweis: VMware Cloud Director 10.4.1 und höher unterstützen die Legacy-Implementierung der Konsolen-Proxy-Funktion nicht.

Voraussetzungen

  • Um sicherzustellen, dass dies das für Ihre Umgebung erforderliche Verfahren ist, machen Sie sich mit Erstellen und Verwalten von SSL-Zertifikaten Ihrer VMware Cloud Director-Appliance vertraut.

  • Kopieren Sie Ihre Zwischenzertifikate, das Root-CA-Zertifikat und das von einer Zertifizierungsstelle signierte HTTPS-Dienstzertifikat in die Appliance.
  • Stellen Sie sicher, dass der Schlüssel und das Zertifikat, die Sie importieren möchten, ein PEM-codierter privater PKCS #8-Schlüssel und ein PEM-codiertes X.509-Zertifikat sind.

Prozedur

  1. Melden Sie sich direkt oder mithilfe eines SSH-Clients bei der Konsole der VMware Cloud Director-Appliance als root an.
  2. Sichern Sie die vorhandenen Zertifikatsdateien.
    Option Bezeichnung
    Upgrade der Umgebung von VMware Cloud Director 10.2.
    1. Notieren Sie sich die Pfade der vorhandenen http- und consoleproxy-Zertifikatsdateien aus /opt/vmware/vcloud-director/etc/global.properties mithilfe der Eigenschaften user.http.pem, user.http.key, user.consoleproxy.pem und user.consoleproxy.key.
    2. Verwenden Sie zum Sichern der vorhandenen Zertifikatsdateien die Pfade aus Schritt 2a, um die folgenden Befehle auszuführen.
      cp path_to_the_user.http.pem /opt/vmware/vcloud-director/etc/user.http.pem.original
      cp path_to_the_user.http.key /opt/vmware/vcloud-director/etc/user.http.key.original
    Upgrade der Umgebung von VMware Cloud Director 10.3, oder Umgebung ist eine neue Bereitstellung. Führen Sie zum Sichern der vorhandenen Zertifikatsdateien folgende Befehle aus.
    cp /opt/vmware/vcloud-director/etc/user.http.pem /opt/vmware/vcloud-director/etc/user.http.pem.original
    cp /opt/vmware/vcloud-director/etc/user.http.key /opt/vmware/vcloud-director/etc/user.http.key.original
  3. Kopieren und ersetzen Sie die Schlüssel- und Zertifikatsdateien die Sie importieren müssen, unter /opt/vmware/vcloud-director/etc/user.http.pem und /opt/vmware/vcloud-director/etc/user.http.key.
  4. Wenn Sie über Zwischenzertifikate verfügen, führen Sie den folgenden Befehl aus, um das von der Stammzertifizierungsstelle signierte Zertifikat und alle Zwischenzertifikate an die HTTP-Zertifikate anzuhängen.
    cat intermediate-certificate-file-1.cer intermediate-certificate-file-2.cerroot-CA-certificate.cer >> /opt/vmware/vcloud-director/etc/user.http.pem

    Wobei es sich bei intermediate-certificate-file-1.cer und intermediate-certificate-file-2.cer um die Namen der Zwischenzertifikate und bei root-CA-certificate.cer um den Namen des von der Stammzertifizierungsstelle signierten Zertifikats handelt.

  5. Führen Sie den Befehl aus, um die signierten Zertifikate in die VMware Cloud Director-Instanz zu importieren.
    /opt/vmware/vcloud-director/bin/cell-management-tool certificates -j --cert /opt/vmware/vcloud-director/etc/user.http.pem --key /opt/vmware/vcloud-director/etc/user.http.key --key-password imported_key_password
  6. Damit die von einer Zertifizierungsstelle signierten Zertifikate wirksam werden, starten Sie den vmware-vcd-Dienst auf der VMware Cloud Director-Appliance neu.
    1. Führen Sie den Befehl aus, um den Dienst anzuhalten.
      /opt/vmware/vcloud-director/bin/cell-management-tool cell -i $(service vmware-vcd pid cell) -s
    2. Führen Sie den Befehl aus, um den Dienst zu starten.
      systemctl start vmware-vcd

Nächste Maßnahme