VMware Cloud Director verwendet SSL-Handshakes, um die Kommunikation zwischen Clients und Servern zu sichern.

Ab VMware Cloud Director 10.4 verwendet der Konsolen-Proxy dieselbe IP-Adresse und denselben Port wie die REST API. Der Konsolen-Proxy und die REST API verwenden ein einzelnes Zertifikat. Aufgrund des einheitlichen Access Point ist die Anpassung der öffentlichen VMware Cloud Director-Proxy-Adresse der Konsole nicht mehr erforderlich.
Hinweis: VMware Cloud Director 10.4.1 und höher unterstützen die Legacy-Implementierung der Konsolen-Proxy-Funktion nicht.

Signierte Zertifikate werden von autorisierten Zertifizierungsstellen signiert. Solange der Truststore des lokalen Betriebssystems über eine Kopie des Stammzertifikats und der Zwischenzertifikate der Zertifizierungsstelle verfügt, werden sie von Browsern als vertrauenswürdig eingestuft. Einige Zertifizierungsstellen verlangen, dass Sie die Anforderungen für ein Zertifikat übermitteln. Andere verlangen, dass Sie eine Zertifikatsignieranforderung (Certificate Signing Request, CSR) übermitteln. In beiden Szenarien erstellen Sie ein selbstsigniertes Zertifikat und generieren eine CSR, die auf diesem Zertifikat basiert. Die Zertifizierungsstelle signiert Ihr Zertifikat mit ihrem privaten Schlüssel, den Sie dann mit Ihrer Kopie des öffentlichen Schlüssels entschlüsseln und eine Vertrauensstellung einrichten können.

Wenn Sie ein abgelaufenes SSL-Zertifikat erneuern, müssen Sie VMware Cloud Director keine Daten zum abgelaufenen Zertifikat zur Verfügung stellen. Dies bedeutet, dass Sie die erforderlichen SSL-Zertifikate nach dem Import in die VMware Cloud Director-Appliance nicht sichern müssen.

Sie können PEM-Dateien direkt in die VMware Cloud Director-Appliance importieren. Wenn Ihre Zertifikatsdateien ein anderes Format aufweisen, können Sie diese mithilfe von OpenSSL in PEM konvertieren, bevor Sie sie mit dem Zellenverwaltungstool in VMware Cloud Director importieren.

Sie können die Zertifikatdateien .key und .pem mithilfe des Zellenverwaltungstools in die Appliance importieren.

Zertifikatsverwaltung in der VMware Cloud Director-Appliance

Sie können das HTTP-Zertifikat der Zelle mithilfe des Service Provider Admin Portal verwalten. Der certificates-Befehl des Zellenverwaltungstools wird entfernt. Aus diesen Gründen unterscheidet sich die Zertifikatsverwaltung für 10.6 und höhere Versionen erheblich von früheren Versionen.

Bei der Bereitstellung von VMware Cloud Director-Appliance-Instanzen generiert VMware Cloud Director standardmäßig selbstsignierte Zertifikate und verwendet sie zum Konfigurieren der VMware Cloud Director-Zelle für die sichere Kommunikation. Nachdem Sie eine Appliance bereitgestellt haben, können Sie die Zelle für die Verwendung signierter Zertifikate neu konfigurieren.

Beim Upgrade von Version 10.5.0 und niedriger auf Version 10.5.1 und höher migriert VMware Cloud Director das vorhandene HTTP-Zertifikat jeder Zelle von der Festplatte in die Zertifikatsbibliothek der System-Organisation. Wenn das Festplatten-HTTP-Zertifikat zuvor für jede Zelle in der Servergruppe freigegeben wurde, z. B. ein Platzhalterzertifikat, fügt VMware Cloud Director nur eine Kopie zur Zertifikatsbibliothek hinzu, und jede Zelle ist Verbraucher des Bibliothekselements.

Ab VMware Cloud Director 10.5.1 verwendet VMware Cloud Director zusätzlich zum Zertifikat, das VMware Cloud Director für die HTTPS-Kommunikation der Zelle verwendet, auch ein zweites Zertifikat, um die Kommunikation mit Java Management Extensions (JMX) zu schützen. JMX wird verwendet, um die Kommunikation zwischen Zellen zu erleichtern. Mit JMX kann jede Zelle Remotevorgänge für andere Zellen in der Servergruppe aufrufen. Beim ersten Start einer VMware Cloud Director 10.6.x-Zelle generiert VMware Cloud Director automatisch ein JMX-Zertifikat und fügt es sowohl der Zertifikatsbibliothek als auch den vertrauenswürdigen Zertifikaten der System-Organisation hinzu.

Ersetzen oder Erneuern der Zertifikate der VMware Cloud Director-Zelle

Sie können die Zertifikate der VMware Cloud Director-Zelle ersetzen oder erneuern, wenn die Zertifikate ablaufen, wenn Sie selbstsignierte durch ordnungsgemäß signierte Zertifikate ersetzen möchten usw.

Voraussetzungen

  • Nach der Bereitstellung generiert die VMware Cloud Director-Appliance selbstsignierte Zertifikate mit einer Schlüsselgröße von 2.048 Bit. Bewerten Sie die Sicherheitsanforderungen für Ihre Installation, bevor Sie eine geeignete Schlüsselgröße auswählen. VMware Cloud Director unterstützt gemäß NIST Special Publication 800-131A keine Schlüsselgrößen von weniger als 1.024 Bit.

    Wenn Sie neue Zertifikate für ihre Zertifizierungsstelle (CA) zum Signieren generieren müssen, finden Sie weitere Informationen unter Generieren von selbstsignierten Zertifikaten für den VMware Cloud Director-HTTPS-Endpoint.

  • Stellen Sie sicher, dass keines der Zertifikate in der Zertifikatskette, die Sie erstellen möchten, SHA1 verwendet. VMware Cloud Director akzeptiert keine Zertifikate, deren Signaturalgorithmen SHA1 verwenden, z. B. sha1WithRSAEncryption.
  • Bevor Sie das HTTP-Material in die Zertifikatsbibliothek hochladen, müssen Sie die Zertifikatskette vorbereiten, die vom Server bereitgestellt wird.

    Wenn Sie über Zwischenzertifikate verfügen, z. B. intermediate-certificate-file-{1-n}.cer, hängen Sie sie an Ihr HTTPS-Zertifikat an.

    In seltenen Fällen können Sie auch das Stammzertifikat root-CA-certificate.cer anhängen. Dies ist nicht üblich und gilt im Allgemeinen nicht, wenn Ihre Zertifizierungsstelle eine der bekannten Zertifizierungsstellen ist, deren Zertifikat mit den modernsten Browsern verteilt wird. Wenden Sie sich an Ihre Zertifizierungsstelle, um weitere Informationen zu erhalten und zu ermitteln, ob Sie Ihr Stammzertifikat anhängen müssen.

    cat intermediate-certificate-file-1.cer intermediate-certificate-file-2.cer >> your-http-certificate.pem

    Hierbei sind intermediate-certificate-file-1.cer und intermediate-certificate-file-2.cer die Namen von Zwischenzertifikaten.

  • Stellen Sie sicher, dass das Zertifikat im PEM-codierten X.509-Format und der zugehörige private Schlüssel im PEM-codierten PKCS #8-Format vorliegt. Sie können nur diese Formate in die Zertifikatsbibliothek hochladen.
Vorgehensweise
  1. Importieren Sie das Zertifikat und den zugehörigen privaten Schlüssel in die Zertifikatsbibliothek der System-Organisation. Weitere Informationen finden Sie unter Importieren von Zertifikaten in die Zertifikatsbibliothek mithilfe des VMware Cloud Director Service Provider Admin Portal.
  2. Ändern Sie die Zertifikate einer Zelle.
  3. Wiederholen Sie die Schritte 1 und 2 für jede Appliance im Cluster.

Ersetzen oder Erneuern der VMware Cloud Director-Appliance-Verwaltungszertifikate

  1. Melden Sie sich direkt oder mithilfe von SSH beim Betriebssystem der VMware Cloud Director-Appliance als root an.
  2. Führen Sie zum Beenden der VMware Cloud Director-Dienste den folgenden Befehl aus.
    /opt/vmware/vcloud-director/bin/cell-management-tool -u administrator cell --shutdown
  3. Generieren Sie selbstsignierte Zertifikate für die eingebettete PostgreSQL-Datenbank und die Verwaltungsbenutzeroberfläche der VMware Cloud Director-Appliance, indem Sie den folgenden Befehl ausführen.
    /opt/vmware/appliance/bin/generate-appliance-certificates.sh
    Hinweis: Ab VMware Cloud Director 10.5.1.1 wird das generate-certificates.sh-Skript in generate-appliance-certificates.sh umbenannt, und das Skript erneuert nur die VMware Cloud Director-Appliance-Zertifikate. Die Zertifikaterneuerung und -ersetzung von VMware Cloud Director ist nicht mehr Teil des Skripts.

    Dieser Befehl bewirkt, dass automatisch die neu generierten Zertifikate für die eingebettete PostgreSQL-Datenbank und die Verwaltungsschnittstelle der Appliance verwendet werden. Der PostgreSQL- und der Nginx-Server werden neu gestartet.

  4. (Optional) Wenn die neu generierten Zertifikate von einer Zertifizierungsstelle signiert werden sollen, rufen Sie die von der Zertifizierungsstelle signierten Zertifikate ab, kopieren Sie sie und starten Sie die Dienste neu.
    1. Erstellen Sie eine Zertifikatsignieranforderung in der Datei vcd_ova.csr.
      openssl req -new -key /opt/vmware/appliance/etc/ssl/vcd_ova.key -reqexts SAN -config <(cat /etc/ssl/openssl.cnf <(printf "\n[SAN]\nsubjectAltName=DNS:vcd2.example.com,DNS:vcd2,IP:10.100.101.10\n")) -out vcd_ova.csr
    2. Senden Sie die Zertifikatsignieranforderung an die Zertifizierungsstelle. Wenn Sie einen Webservertyp angeben müssen, verwenden Sie Jakarta Tomcat.
    3. Wenn Sie das von der Zertifizierungsstelle signierte Zertifikat erhalten, kopieren Sie es, um das Original zu überschreiben.
      cp ca-signed-vcd_ova.pem /opt/vmware/appliance/etc/ssl/vcd_ova.crt
    4. Starten Sie die nginx- und postgres-Dienste neu.
      systemctl restart nginx.service systemctl restart vpostgres.service
  5. Starten Sie den VMware Cloud Director-Dienst neu.
    service vmware-vcd start