Puede implementar el dispositivo de VMware Cloud Director con certificados comodín firmados. Puede utilizar estos certificados para proteger una cantidad ilimitada de servidores que son subdominios del nombre de dominio que aparece en el certificado. El procedimiento para la versión 10.4 incluye la configuración del proxy de consola.

Si desea implementar el dispositivo de VMware Cloud Director 10.4.1 o una versión posterior, consulte Implementar el dispositivo de VMware Cloud Director 10.4.1 y versiones posteriores con un certificado comodín firmado para las comunicaciones HTTPS.

De forma predeterminada, cuando se implementan dispositivos de VMware Cloud Director, VMware Cloud Director genera certificados autofirmados y configura con ellos la celda de VMware Cloud Director para las comunicaciones HTTPS.

A partir de VMware Cloud Director 10.4, tanto el tráfico del proxy de consola como las comunicaciones HTTPS pasan por el puerto 443 predeterminado. No necesita un certificado independiente para el proxy de consola.

Nota: VMware Cloud Director 10.4.1 y versiones posteriores no admiten la implementación heredada de la función de proxy de consola.

Cuando se implementa correctamente un dispositivo principal, la lógica de configuración del dispositivo copia el archivo responses.properties del dispositivo principal en el almacenamiento común del servicio de transferencia compartido de NFS en /opt/vmware/vcloud-director/data/transfer. Con este archivo, otros dispositivos implementados para este grupo de VMware Cloud Director Servers se autoconfiguran automáticamente. El archivo responses.properties incluye una ruta de acceso al certificado SSL y la clave privada, que incluye los certificados autofirmados generados automáticamente user.certificate.path, la clave privada user.key.path, los certificados del proxy de consola user.consoleproxy.certificate.path y la clave privada del proxy de consola user.consoleproxy.key.path. De forma predeterminada, estas rutas de acceso llevan a archivos PEM locales de cada dispositivo.

Nota: La contraseña de clave que se utiliza para los certificados debe coincidir con la contraseña inicial de raíz utilizada al implementar todos los dispositivos.

Después de implementar el dispositivo principal, puede volver a configurarlo para utilizar certificados firmados. Para obtener más información sobre cómo crear el almacén de certificados firmados, consulte Crear e importar certificados SSL firmados por una entidad de certificación para el dispositivo de VMware Cloud Director 10.4.1 y versiones posteriores.

Si los certificados firmados que utiliza en el dispositivo principal de VMware Cloud Director son certificados comodín firmados, estos certificados pueden aplicarse a todos los demás dispositivos del grupo de servidores de VMware Cloud Director (es decir, celdas en espera y celdas de aplicación de VMware Cloud Director). Puede utilizar la implementación del dispositivo con certificados comodín firmados para comunicaciones de proxy de consola y HTTPS con el fin de configurar las celdas adicionales con los certificados comodín SSL firmados.

Requisitos previos

Si desea comprobar que este sea el procedimiento relevante para las necesidades de su entorno, familiarícese con Creación y administración de certificados SSL del dispositivo de VMware Cloud Director.

Procedimiento

  1. Copie los archivos user.http.pem, user.http.key, user.consoleproxy.pem y user.consoleproxy.key del dispositivo principal en el recurso compartido de transferencia en /opt/vmware/vcloud-director/data/transfer/.
  2. Cambie los permisos de propietario y de grupo en los archivos de certificado a vcloud.
    chown vcloud.vcloud /opt/vmware/vcloud-director/data/transfer/user.http.pem
    chown vcloud.vcloud /opt/vmware/vcloud-director/data/transfer/user.http.key
    chown vcloud.vcloud /opt/vmware/vcloud-director/data/transfer/user.consoleproxy.pem
    chown vcloud.vcloud /opt/vmware/vcloud-director/data/transfer/user.consoleproxy.key
  3. Compruebe que el propietario de los archivos de certificado tenga permisos de lectura y escritura.
    chmod 0750 /opt/vmware/vcloud-director/data/transfer/user.http.pem
    chmod 0750 /opt/vmware/vcloud-director/data/transfer/user.http.key
    chmod 0750 /opt/vmware/vcloud-director/data/transfer/user.consoleproxy.pem
    chmod 0750 /opt/vmware/vcloud-director/data/transfer/user.consoleproxy.key
  4. En el dispositivo principal, ejecute el comando para importar los nuevos certificados firmados en la instancia de VMware Cloud Director.

    Estos comandos también actualizan el archivo responses.properties en el recurso compartido de transferencia, modificando las variables user.certificate.path, user.key.path, user.consoleproxy.certificate.path y user.consoleproxy.key.path para que apunten a los archivos de certificado del recurso compartido de transferencia.

    /opt/vmware/vcloud-director/bin/cell-management-tool certificates -j --cert /opt/vmware/vcloud-director/data/transfer/user.http.pem --key /opt/vmware/vcloud-director/data/transfer/user.http.key --key-password root-password
    /opt/vmware/vcloud-director/bin/cell-management-tool certificates -p --cert /opt/vmware/vcloud-director/data/transfer/user.consoleproxy.pem --key /opt/vmware/vcloud-director/data/transfer/user.consoleproxy.key --key-password root-password
  5. Para que se apliquen los nuevos certificados firmados, reinicie el servicio vmware-vcd en el dispositivo principal.
    1. Ejecute el comando para detener el servicio.
      /opt/vmware/vcloud-director/bin/cell-management-tool cell -i $(service vmware-vcd pid cell) -s
    2. Ejecute el comando para iniciar el servicio.
      systemctl start vmware-vcd
  6. Implemente los dispositivos de celda de aplicación y celda en espera mediante la contraseña raíz inicial que coincide con la contraseña de la clave.

Resultados

Todos los dispositivos recién implementados que utilizan el mismo almacenamiento de servicio de transferencia compartido de NFS se configuran con los mismos certificados comodín SSL firmados que el dispositivo principal utiliza.