La creación y la importación de certificados firmados por una entidad de certificación proporcionan el nivel más alto de confianza para las comunicaciones de SSL y ayudan a proteger las conexiones dentro de la infraestructura de nube.

Cada servidor de VMware Cloud Director debe admitir dos endpoints de SSL diferentes: uno para HTTPS y otro para las comunicaciones de proxy de consola.

Importante: Si utiliza direcciones IP independientes para el servicio HTTPS y para el servicio de proxy de consola, debe completar este procedimiento una vez para la dirección IP del servicio HTTPS y otra vez para la dirección IP para el servicio de proxy de consola.

Los dos endpoints pueden ser direcciones IP independientes o una sola dirección IP con dos puertos diferentes. Puede usar el mismo certificado para ambos endpoints, por ejemplo, si utiliza un certificado comodín.

Los certificados de ambos endpoints deben incluir un nombre distintivo X.500 y una extensión de nombre alternativo del firmante X.509.

Puede utilizar certificados firmados por una entidad de certificación de confianza o autofirmados.

Se utiliza cell-management-tool para crear los certificados SSL autofirmados. La utilidad cell-management-tool se instala en la celda antes de que se ejecute el agente de configuración y después de que se ejecute el archivo de instalación. Consulte la Instalar VMware Cloud Director en el primer miembro de un grupo de servidores.

Importante: En estos ejemplos de especifica un tamaño de clave de 2048 bits, pero conviene evaluar los requisitos de seguridad de la instalación antes de elegir un tamaño adecuado de clave. Los tamaños de clave inferiores a 1024 bits ya no se admiten según la publicación especial NIST 800-131A.

Requisitos previos

Procedimiento

  1. Inicie sesión directamente o mediante un cliente SSH en el SO de la celda del servidor de VMware Cloud Director como raíz.
  2. Según las necesidades del entorno, elija una de las siguientes opciones.
    • Si tiene su propia clave privada y sus propios archivos de certificado firmado por una entidad de certificación, vaya al paso 6.
    • Si desea generar nuevos certificados con opciones personalizadas, como un tamaño de clave mayor, siga con el paso 3.
  3. Ejecute el comando para crear un par de claves pública y privada para los servicios HTTPS y de proxy de consola. 
    /opt/vmware/vcloud-director/bin/cell-management-tool generate-certs --cert cert.pem --key cert.key --key-password key_password

    El comando crea o sobrescribe un archivo de certificado en cert.pem y el archivo de clave privada en cert.key con la contraseña especificada. Los certificados se crean utilizando los valores predeterminados del comando. Según la configuración de DNS del entorno, el CN del emisor se establece en la dirección IP o el FQDN de cada servicio. El certificado utiliza la longitud de clave predeterminada de 2048 bits y caduca un año después de su creación.

    Importante: El archivo de certificado y el archivo de clave privada, así como el directorio en el que se almacenan, deben ser legibles para el usuario vcloud.vcloud. VMware Cloud Director y el directorio en el que se almacena deben ser legibles para el usuario vcloud.vcloud. El instalador de VMware Cloud Director crea este usuario y grupo.
  4. Cree una solicitud de firma del certificado en el archivo cert.csr. 
    openssl req -new -key cert.key -reqexts SAN -config <(cat /etc/ssl/openssl.cnf <(printf "\n[SAN]\nsubjectAltName=DNS:vcd2.example.com,DNS:vcd2,IP:10.100.101.10\n")) -out cert.csr
  5. Envíe las solicitudes de firma del certificado a la entidad de certificación.
    Si la autoridad de certificación le exige especificar un tipo de servidor web, utilice Jakarta Tomcat.
    Obtiene los certificados firmados por una entidad de certificación.
  6. Ejecute el comando para anexar el certificado raíz firmado por la entidad de certificación y los certificados intermedios al certificado que generó en el paso 2. 
    cat intermediate-certificate-file-1.cer intermediate-certificate-file-2.cer root-CA-certificate.cer >> cert.pem
  7. Repita este procedimiento para todos los servidores VMware Cloud Director del grupo de servidores.

Qué hacer a continuación

  • Si aún no ha configurado la instancia de VMware Cloud Director, ejecute el script configure para importar el almacén de claves de certificados en VMware Cloud Director. Consulte Configuración de conexiones de red y de base de datos.
    Nota: Si creó los archivos de certificado cert.pem o cert.key en un equipo que no sea el servidor en el cual haya generado la lista de nombres de dominio totalmente cualificados y sus direcciones IP, copie los archivos cert.pem y cert.key en ese servidor ahora. Necesita el nombre de la ruta de acceso a la clave privada y el certificado cuando ejecute el script de configuración.
  • Si ya ha instalado y configurado la instancia de VMware Cloud Director, utilice el comando certificates de la herramienta de administración de celdas para importar los certificados. Consulte la Sustituir certificados para los endpoints de proxy de consola y HTTPS.