La creación y la importación de certificados firmados por una entidad de certificación proporcionan el nivel más alto de confianza para las comunicaciones de SSL y ayudan a proteger las conexiones dentro de la nube.

Cada servidor de VMware Cloud Director debe admitir dos endpoints de SSL diferentes: uno para HTTPS y otro para las comunicaciones de proxy de consola.

En el dispositivo de VMware Cloud Director, estos dos endpoints comparten la misma dirección IP o nombre de host, pero utilizan dos puertos distintos: 443 para HTTPS y 8443 para las comunicaciones de proxy de consola. Puede usar el mismo certificado para ambos endpoints, por ejemplo, si utiliza un certificado comodín.

Los certificados de ambos endpoints deben incluir un nombre distintivo X.500 y una extensión de nombre alternativo del firmante X.509.

Si ya cuenta con sus propios archivos de clave privada y de certificado firmado por una entidad de certificación, siga el procedimiento que se describe en Importar claves privadas y certificados SSL firmados por una entidad de certificación en el dispositivo de VMware Cloud Director.

Importante: Después de la implementación, el dispositivo de VMware Cloud Director genera certificados autofirmados con un tamaño de clave de 2.048 bits. Debe evaluar los requisitos de seguridad de la instalación antes de elegir un tamaño de clave adecuado. Los tamaños de clave inferiores a 1024 bits ya no se admiten según la publicación especial NIST 800-131A.

En este procedimiento se utiliza como contraseña de clave privada la del usuario root, que se representa como root_password.

Procedimiento

  1. Inicie sesión directamente o utilice un cliente SSH en la consola del dispositivo de VMware Cloud Director como raíz.
  2. Según las necesidades del entorno, elija una de las siguientes opciones.
    Cuando se implementa el dispositivo de VMware Cloud Director, VMware Cloud Director genera automáticamente certificados autofirmados con un tamaño de clave de 2.048 bits para los servicios HTTPS y de proxy de consola.
    • Si desea que la entidad de certificación firme los certificados que se generan con la implementación, vaya al Paso 5.
    • Si desea generar nuevos certificados con opciones personalizadas, como un tamaño de clave mayor, siga con el Paso 3.
  3. Ejecute el comando para realizar una copia de seguridad de los archivos de certificado existentes. 
    cp /opt/vmware/vcloud-director/etc/user.http.pem /opt/vmware/vcloud-director/etc/user.http.pem.original
cp /opt/vmware/vcloud-director/etc/user.http.key /opt/vmware/vcloud-director/etc/user.http.key.original
cp /opt/vmware/vcloud-director/etc/user.consoleproxy.pem /opt/vmware/vcloud-director/etc/user.consoleproxy.pem.original
cp /opt/vmware/vcloud-director/etc/user.consoleproxy.key /opt/vmware/vcloud-director/etc/user.consoleproxy.key.original
  4. Ejecute los siguientes comandos para crear pares de claves pública y privada para los servicios HTTPS y de proxy de consola. 
    /opt/vmware/vcloud-director/bin/cell-management-tool generate-certs --cert /opt/vmware/vcloud-director/etc/user.http.pem --key /opt/vmware/vcloud-director/etc/user.http.key --key-password root-password
/opt/vmware/vcloud-director/bin/cell-management-tool generate-certs --cert /opt/vmware/vcloud-director/etc/user.consoleproxy.pem --key /opt/vmware/vcloud-director/etc/user.consoleproxy.key --key-password root-password

    Los comandos crean o sobrescriben el archivo de certificado mediante los valores predeterminados, y crean o sobrescriben el archivo de clave privada con las contraseñas especificadas. Según la configuración de DNS del entorno, el nombre común (Common Name, CN) del emisor se establece como la dirección IP o el FQDN de cada servicio. El certificado utiliza la longitud de clave predeterminada de 2048 bits y caduca un año después de su creación.

    Importante: Debido a las restricciones de configuración en el dispositivo de VMware Cloud Director, debe utilizar las ubicaciones /opt/vmware/vcloud-director/etc/user.http.pem y /opt/vmware/vcloud-director/etc/user.http.key para los archivos de certificado HTTPS, y /opt/vmware/vcloud-director/etc/user.consoleproxy.pem y /opt/vmware/vcloud-director/etc/user.consoleproxy.key para los archivos de certificado de proxy de consola.
    Nota: Utilice la contraseña root del dispositivo como contraseña de clave.
  5. Cree solicitudes de firma del certificado (Certificate Signing Request, CSR) para los servicios HTTPS y de proxy de consola.
    Importante: El dispositivo de VMware Cloud Director comparte la misma dirección IP o nombre de host en los servicios HTTPS y de proxy de consola. Por eso, los comandos de creación de CSR deben especificar los mismos DNS y direcciones IP para el argumento de extensión de nombre alternativo del firmante (Subject Alternative Name, SAN).
    1. Cree una solicitud de firma del certificado en el archivo http.csr. 
      openssl req -new -key /opt/vmware/vcloud-director/etc/user.http.key -reqexts SAN -config <(cat /etc/ssl/openssl.cnf <(printf "\n[SAN]\nsubjectAltName=DNS:vcd2.example.com,DNS:vcd2,IP:10.100.101.10\n")) -out http.csr
    2. Cree una solicitud de firma del certificado en el archivo consoleproxy.csr. 
      openssl req -new -key /opt/vmware/vcloud-director/etc/user.consoleproxy.key -reqexts SAN -config <(cat /etc/ssl/openssl.cnf <(printf "\n[SAN]\nsubjectAltName=DNS:vcd2.example.com,DNS:vcd2,IP:10.100.101.10\n")) -out consoleproxy.csr
  6. Envíe las solicitudes de firma del certificado a la entidad de certificación.
    Si la autoridad de certificación le exige especificar un tipo de servidor web, utilice Jakarta Tomcat.
    Obtiene los certificados firmados por una entidad de certificación.
  7. Copie los certificados firmados por CA, el certificado raíz de CA y todos los certificados intermedios en el dispositivo de VMware Cloud Director y ejecute los comandos para sobrescribir los certificados existentes.
    1. Ejecute el comando para sobrescribir el certificado de user.http.pem existente en el dispositivo con la versión firmada por la entidad de certificación. 
      cp ca-signed-http.pem /opt/vmware/vcloud-director/etc/user.http.pem
    2. Ejecute el comando para sobrescribir el user.consoleproxy.pem existente en el dispositivo con su versión firmada por la entidad de certificación. 
      cp ca-signed-consoleproxy.pem /opt/vmware/vcloud-director/etc/user.consoleproxy.pem
  8. Ejecute el comando para anexar el certificado raíz firmado por una entidad de certificación y los certificados intermedios en el certificado HTTP y de proxy de consola. 
    cat intermediate-certificate-file-1.cer intermediate-certificate-file-2.cer root-CA-certificate.cer >> /opt/vmware/vcloud-director/etc/user.http.pem
cat intermediate-certificate-file-1.cer intermediate-certificate-file-2.cer root-CA-certificate.cer >> /opt/vmware/vcloud-director/etc/user.consoleproxy.pem
  9. Ejecute el comando para importar los certificados en la instancia de VMware Cloud Director. 
    /opt/vmware/vcloud-director/bin/cell-management-tool certificates -j --cert /opt/vmware/vcloud-director/etc/user.http.pem --key /opt/vmware/vcloud-director/etc/user.http.key --key-password root_password
/opt/vmware/vcloud-director/bin/cell-management-tool certificates -p --cert /opt/vmware/vcloud-director/etc/user.consoleproxy.pem --key /opt/vmware/vcloud-director/etc/user.consoleproxy.key --key-password root_password
  10. Para que se apliquen los nuevos certificados firmados, reinicie el servicio vmware-vcd en el dispositivo de VMware Cloud Director.
    1. Ejecute el comando para detener el servicio. 
      /opt/vmware/vcloud-director/bin/cell-management-tool cell -i $(service vmware-vcd pid cell) -s
    2. Ejecute el comando para iniciar el servicio. 
      systemctl start vmware-vcd

Qué hacer a continuación