Generar certificados autofirmados para los endpoints de proxy de consola y HTTPS

Utilice el comando generate-certs de la herramienta de administración de celdas para generar certificados SSL autofirmados para los endpoints de proxy de consola y HTTPS.

Cada grupo de servidores de VMware Cloud Director debe admitir dos endpoints SSL: uno para el servicio HTTPS y otro para el de proxy de consola. El endpoint del servicio HTTPS es compatible con el VMware Cloud Director Service Provider Admin Portal, el VMware Cloud Director Tenant Portal y la API de VMware Cloud Director. El endpoint de proxy de consola remota admite conexiones de VMRC para vApps y máquinas virtuales.

El comando generate-certs de la herramienta de administración de celdas automatiza el procedimiento Crear certificados SSL autofirmados para VMware Cloud Director en Linux.

Para generar nuevos certificados SSL autofirmados, utilice una línea de comandos con el siguiente formato:

cell-management-tool generate-certs options

Tabla 1. Opciones y argumentos de la herramienta de administración de celdas, subcomando generate-certs
Opción	Argumento	Descripción
--help (-h)	Ninguno	Proporciona un resumen de los comandos disponibles en esta categoría.
--expiration (-x)	`días-hasta-caducidad`	Número de días para que caduquen los certificados. El valor predeterminado es 365.
--issuer (-i)	`nombre`=`valor` [, `nombre`=`valor`, ...]	Nombre distintivo X.509 del emisor del certificado. El valor predeterminado es `CN=FQDN`. donde `FQDN` es el nombre de dominio completo de la celda o su dirección IP si no se dispone de un nombre de dominio completo. Si especifica varios pares atributo/valor, sepárelos con comas y escriba el argumento entero entre comillas.
--key-size (-s)	`tamaño-clave`	Tamaño del par de claves expresado como un número entero de bits. El valor predeterminado es 2048. Los tamaños de clave inferiores a 1024 ya no se admiten según la publicación especial NIST 800-131A.
--key-password	`key-password`	Contraseña de la clave privada generada.
--cert	`cert`	Ruta al archivo de certificado generado.
--key	key	Ruta al archivo de clave privada generado.

Creación de certificados de firma automática

En ambos ejemplos se supone que hay un archivo de certificado en /tmp/cell.pem y un archivo de clave privada correspondiente en /tmp/cell.key que tiene la contraseña kpw. Estos archivos se crean si aún no existen.

En este ejemplo, los nuevos certificados se crean con los valores predeterminados. El nombre de emisor se establece como CN=Unknown. El certificado utiliza la longitud de clave predeterminada de 2048 bits y caduca un año después de su creación.

[root@cell1 /opt/vmware/vcloud-director/bin]# ./cell-management-tool generate-certs --cert /tmp/cell.pem --key /tmp/cell.key --key-password kpw
New certificate created and written to /tmp/cell.pem
New private key created and written to /tmp/cell.key

En este ejemplo se especifican valores personalizados para el tamaño de la clave y el nombre del emisor. El nombre de emisor se establece como CN=Test, L=London, C=GB. El nuevo certificado para la conexión HTTPS tiene una clave de 4.096 bits y caduca 90 días después de su creación.

[root@cell1 /opt/vmware/vcloud-director/bin]# ./cell-management-tool generate-certs --cert /tmp/cell.pem --key /tmp/cell.key --key-password kpw -i "CN=Test, L=London, C=GB" -s 4096 -x 90
New certificate created and written to /tmp/cell.pem
New private key created and written to /tmp/cell.key

Importante: Los archivos de certificado y de clave privada, así como el directorio en el que se almacenan, deben ser legibles para el usuario vcloud.vcloud. El instalador de VMware Cloud Director crea este usuario y grupo.