Das Erstellen und Importieren der von einer Zertifizierungsstelle signierten Zertifikate für Ihre VMware Cloud Director-Appliance bietet die höchste Vertrauensebene für die SSL-Kommunikation und hilft Ihnen, die Verbindungen innerhalb Ihrer Cloud zu sichern.

Wichtig:

Bei der Bereitstellung generiert die VMware Cloud Director-Appliance selbstsignierte Zertifikate mit einer Schlüsselgröße von 2.048 Bit. Sie müssen die Sicherheitsanforderungen Ihrer Installation überprüfen, bevor Sie eine geeignete Schlüsselgröße auswählen. Schlüssel mit einer Länge von weniger als 1024 Bit werden entsprechend NIST Special Publication 800-131A nicht mehr unterstützt.

Das in diesem Verfahren verwendete Kennwort für den privaten Schlüssel ist das root-Benutzerkennwort und wird als root_password dargestellt.

Ab VMware Cloud Director 10.4 werden sowohl der Konsolen-Proxy-Datenverkehr als auch die HTTPS-Kommunikation über den Standardport 443 übertragen.

Hinweis: VMware Cloud Director 10.4.1 und höher unterstützen die Legacy-Implementierung der Konsolen-Proxy-Funktion nicht.

Voraussetzungen

Um sicherzustellen, dass dies das für Ihre Umgebung erforderliche Verfahren ist, machen Sie sich mit Erstellen und Verwalten von SSL-Zertifikaten Ihrer VMware Cloud Director-Appliance vertraut.

Prozedur

  1. Melden Sie sich direkt oder mithilfe eines SSH-Clients bei der Konsole der VMware Cloud Director-Appliance als root an.
  2. Je nach den Anforderungen Ihrer Umgebung wählen Sie eine der folgenden Optionen aus.
    Wenn Sie die VMware Cloud Director-Appliance bereitstellen, generiert VMware Cloud Director automatisch selbstsignierte Zertifikate mit einer Schlüsselgröße von 2048 Bit für den HTTPS- und den Konsolen-Proxy-Dienst.
    • Wenn Ihre Zertifizierungsstelle die Zertifikate signieren soll, die bei der Bereitstellung generiert werden, fahren Sie mit Schritt 5 fort.
    • Wenn Sie neue Zertifikate mit benutzerdefinierten Optionen generieren möchten, z. B. eine größere Schlüsselgröße, fahren Sie mit Schritt 3 fort.
  3. Führen Sie den Befehl aus, um die vorhandenen Zertifikatsdateien zu sichern.
    cp /opt/vmware/vcloud-director/etc/user.http.pem /opt/vmware/vcloud-director/etc/user.http.pem.original
    cp /opt/vmware/vcloud-director/etc/user.http.key /opt/vmware/vcloud-director/etc/user.http.key.original
  4. Führen Sie die folgenden Befehle aus, um öffentliche und private Schlüsselpaare für den HTTPS-Dienst zu erstellen.
    /opt/vmware/vcloud-director/bin/cell-management-tool generate-certs --cert /opt/vmware/vcloud-director/etc/user.http.pem --key /opt/vmware/vcloud-director/etc/user.http.key --key-password root-password

    Die Befehle erstellen oder überschreiben die Zertifikatsdatei mithilfe der Standardwerte und erstellen oder überschreiben die Privatschlüsseldatei mit den angegebenen Kennwörtern. Je nach DNS-Konfiguration Ihrer Umgebung ist der CN (Common Name, Allgemeiner Name) des Ausstellers für jeden Dienst entweder auf die IP-Adresse oder den FQDN festgelegt. Für das Zertifikat wird die Standardschlüssellänge von 2048-Bit verwendet und das Zertifikat läuft ein Jahr nach der Erstellung ab.

    Wichtig: Aufgrund von Konfigurationsbeschränkungen in der VMware Cloud Director-Appliance müssen Sie die Speicherorte /opt/vmware/vcloud-director/etc/user.http.pem und /opt/vmware/vcloud-director/etc/user.http.key für die HTTPS-Zertifikatsdateien verwenden.
    Hinweis: Sie verwenden das root-Kennwort der Appliance als Schlüsselkennwörter.
  5. Erstellen Sie Zertifikatsignieranforderungen (CSR) für den HTTPS-Dienst in der http.csr-Datei.
    openssl req -new -key /opt/vmware/vcloud-director/etc/user.http.key -reqexts SAN -config <(cat /etc/ssl/openssl.cnf <(printf "\n[SAN]\nsubjectAltName=DNS:vcd2.example.com,DNS:vcd2,IP:10.100.101.10\n")) -out http.csr
  6. Senden Sie die Zertifikatsignieranforderungen an die Zertifizierungsstelle.
    Wenn Ihre Zertifizierungsstelle die Angabe eines Webservertyps verlangt, geben Sie Jakarta Tomcat an.
    Sie erhalten die von der Zertifizierungsstelle signierten Zertifikate.
  7. Kopieren Sie die von der Zertifizierungsstelle signierten Zertifikate, das Stammzertifikat der Zertifizierungsstelle und etwaige Zwischenzertifikate auf die VMware Cloud Director-Appliance. Führen Sie den Befehl aus, mit dem das vorhandene user.http.pem-Zertifikat auf der Appliance durch Ihre von der Zertifzierungsstelle signierte Version überschrieben wird.
    cp ca-signed-http.pem /opt/vmware/vcloud-director/etc/user.http.pem
  8. Führen Sie den folgenden Befehl aus, um alle Zwischenzertifikate an das HTTP- und Konsolen-Proxy-Zertifikat anzuhängen.
    cat intermediate-certificate-file-1.cer intermediate-certificate-file-2.cer root-CA-certificate.cer >> /opt/vmware/vcloud-director/etc/user.http.pem
  9. Führen Sie den folgenden Befehl aus, um die Zertifikate in die VMware Cloud Director-Instanz zu importieren.
    /opt/vmware/vcloud-director/bin/cell-management-tool certificates -j --cert /opt/vmware/vcloud-director/etc/user.http.pem --key /opt/vmware/vcloud-director/etc/user.http.key --key-password root_password
  10. Damit die neuen signierten Zertifikate wirksam werden, starten Sie den vmware-vcd-Dienst auf der VMware Cloud Director-Appliance neu.
    1. Führen Sie den Befehl aus, um den Dienst anzuhalten.
      /opt/vmware/vcloud-director/bin/cell-management-tool cell -i $(service vmware-vcd pid cell) -s
    2. Führen Sie den Befehl aus, um den Dienst zu starten.
      systemctl start vmware-vcd

Nächste Maßnahme