Sie können die VMware Cloud Director-Appliance mit signierten Platzhalterzertifikaten bereitstellen. Sie können diese Zertifikate verwenden, um eine unbegrenzte Anzahl von Servern zu sichern, die Unterdomänen des im Zertifikat aufgeführten Domänennamens sind.

Bei der Bereitstellung von VMware Cloud Director-Appliances generiert VMware Cloud Director standardmäßig selbstsignierte Zertifikate und verwendet sie zum Konfigurieren der VMware Cloud Director-Zelle für die HTTPS-Kommunikation.

Ab VMware Cloud Director 10.4 werden sowohl der Konsolen-Proxy-Datenverkehr als auch die HTTPS-Kommunikation über den Standardport 443 übertragen. Sie benötigen kein separates Zertifikat für den Konsolen-Proxy.

Hinweis: VMware Cloud Director 10.4.1 und höher unterstützen die Legacy-Implementierung der Konsolen-Proxy-Funktion nicht.

Wenn Sie eine primäre Appliance erfolgreich bereitstellen, kopiert die Konfigurationslogik der Appliance die Datei responses.properties von der primären Appliance in den gemeinsamen Speicher des gemeinsam genutzten NFS-Übertragungsdienst unter /opt/vmware/vcloud-director/data/transfer. Andere für diese VMware Cloud Director-Servergruppe bereitgestellte Appliances verwenden diese Datei, um sich automatisch selbst zu konfigurieren. Die Datei responses.properties enthält einen Pfad zum SSL-Zertifikat und zum privaten Schlüssel, was die automatisch generierten, selbstsignierten Zertifikate user.certificate.path und den privaten Schlüssel user.key.path umfasst. Standardmäßig handelt es sich bei diesen Pfaden um PEM-Dateien, die für jede Appliance lokal sind.

Nachdem Sie die primäre Appliance bereitgestellt haben, können Sie sie für die Verwendung signierter Zertifikate neu konfigurieren. Weitere Informationen zum Erstellen der signierten Zertifikate finden Sie unter Erstellen und Importieren der von einer Zertifizierungsstelle signierten SSL-Zertifikate für Ihre VMware Cloud Director-Appliance.

Wenn es sich bei den signierten Zertifikaten, die Sie für die primäre VMware Cloud Director-Appliance verwenden, um signierte Platzhalterzertifikate handelt, können diese Zertifikate auf alle anderen Appliances in der VMware Cloud Director-Servergruppe, d. h. Standby-Zellen und VMware Cloud Director-Anwendungszellen, angewendet werden. Sie können die Bereitstellung der Appliance mit signierten Platzhalterzertifikaten für die HTTPS-Kommunikation verwenden, um die zusätzlichen Zellen mit den signierten Platzhalter-SSL-Zertifikaten zu konfigurieren.

Voraussetzungen

Um sicherzustellen, dass dies das für Ihre Umgebung erforderliche Verfahren ist, machen Sie sich mit Erstellen und Verwalten von SSL-Zertifikaten Ihrer VMware Cloud Director-Appliance vertraut.

Prozedur

  1. Kopieren Sie die Dateien user.http.pem und user.http.key von der primären Appliance in die Übertragungsfreigabe unter /opt/vmware/vcloud-director/data/transfer/.
  2. Ändern Sie die Besitzer- und die Gruppenberechtigungen in den Zertifikatsdateien in vcloud. 
    chown vcloud.vcloud /opt/vmware/vcloud-director/data/transfer/user.http.pem
chown vcloud.vcloud /opt/vmware/vcloud-director/data/transfer/user.http.key
  3. Stellen Sie sicher, dass der Besitzer der Zertifikatsdateien über Lese- und Schreibberechtigungen verfügt. 
    chmod 0750 /opt/vmware/vcloud-director/data/transfer/user.http.pem
chmod 0750 /opt/vmware/vcloud-director/data/transfer/user.http.key
  4. Führen Sie auf der primären Appliance den Befehl zum Importieren der neuen signierten Zertifikate in die VMware Cloud Director-Instanz aus.

    Mit diesen Befehlen wird auch die Datei responses.properties in der Übertragungsfreigabe aktualisiert. Dabei werden die Variablen user.certificate.path und user.key.path so geändert, dass sie auf die Zertifikatdateien in der Übertragungsfreigabe zeigen.

    /opt/vmware/vcloud-director/bin/cell-management-tool certificates -j --cert /opt/vmware/vcloud-director/data/transfer/user.http.pem --key /opt/vmware/vcloud-director/data/transfer/user.http.key --key-password root-password
  5. Damit die neuen signierten Zertifikate wirksam werden, starten Sie den vmware-vcd-Dienst auf der primären Appliance neu.
    1. Führen Sie den Befehl aus, um den Dienst anzuhalten. 
      /opt/vmware/vcloud-director/bin/cell-management-tool cell -i $(service vmware-vcd pid cell) -s
    2. Führen Sie den Befehl aus, um den Dienst zu starten. 
      systemctl start vmware-vcd
  6. Stellen Sie die Appliances der Standby-Zelle und der Anwendungs-Zelle unter Verwendung des anfänglichen Root-Kennworts bereit, das mit dem Schlüsselkennwort übereinstimmt.

Ergebnisse

Alle neu bereitgestellten Appliances, die denselben Speicher des gemeinsam genutzten NFS-Übertragungsdiensts verwenden, sind mit denselben signierten SSL-Platzhalterzertifikaten konfiguriert, die von der primären Appliance verwendet werden.