Si tiene sus propios archivos de clave privada y de certificado firmado por una entidad de certificación, importarlos al entorno de VMware Cloud Director proporciona el más alto nivel de confianza para las comunicaciones SSL y le ayuda a proteger las conexiones dentro de la infraestructura de nube. El procedimiento para la versión 10.4 incluye la configuración del proxy de consola.

Si desea importar claves privadas y certificados firmados por una entidad de certificación al dispositivo de VMware Cloud Director 10.4.1 o una versión posterior, consulte Importar claves privadas y certificados SSL firmados por una entidad de certificación al dispositivo de VMware Cloud Director 10.4.1 y versiones posteriores.

A partir de VMware Cloud Director 10.4, tanto el tráfico del proxy de consola como las comunicaciones HTTPS pasan por el puerto 443 predeterminado. No necesita un certificado independiente para el proxy de consola.

Nota: VMware Cloud Director 10.4.1 y versiones posteriores no admiten la implementación heredada de la función de proxy de consola.

Si desea utilizar la implementación heredada con un punto de acceso de proxy de consola dedicado en VMware Cloud Director 10.4, puede habilitar la función LegacyConsoleProxy en el menú de configuración Marcas de función en la pestaña Administración del Service Provider Admin Portal. Para habilitar la función LegacyConsoleProxy, la instalación o la implementación deben tener los ajustes de proxy de consola configurados en una versión anterior y deben haberse transferido a través de una actualización de VMware Cloud Director. Después de habilitar o desactivar la función, debe reiniciar las celdas. Si habilita la implementación del proxy de consola heredado, el proxy de consola debe tener un certificado independiente.

Requisitos previos

  • Si desea comprobar que este sea el procedimiento relevante para las necesidades de su entorno, familiarícese con Creación y administración de certificados SSL del dispositivo de VMware Cloud Director.

  • Copie al dispositivo los certificados intermedios, el certificado de CA raíz y el certificado de servicio HTTPS firmado por CA.
  • Si la implementación del proxy de consola heredado está habilitada, consulte la versión VMware Cloud Director de este documento.

Procedimiento

  1. Inicie sesión directamente o utilice un cliente SSH en la consola del dispositivo de VMware Cloud Director como raíz.
  2. Realice una copia de seguridad de los archivos de certificado existentes.
    Opción Descripción
    Si el entorno se actualizó desde VMware Cloud Director 10.2.
    1. Tome nota de las rutas de archivo de certificado http y consoleproxy existentes desde /opt/vmware/vcloud-director/etc/global.properties con las propiedades de user.http.pem, user.http.key, user.consoleproxy.pem y user.consoleproxy.key.
    2. Para realizar una copia de seguridad de los archivos de certificado existentes, utilice las rutas del paso 2a para ejecutar los siguientes comandos.
      cp path_to_the_user.http.pem /opt/vmware/vcloud-director/etc/user.http.pem.original
      cp path_to_the_user.http.key /opt/vmware/vcloud-director/etc/user.http.key.original
      cp path_to_the_user.consoleproxy.pem /opt/vmware/vcloud-director/etc/user.consoleproxy.pem.original
      cp path_to_the_user.consoleproxy.key /opt/vmware/vcloud-director/etc/user.consoleproxy.key.original
    Si el entorno se actualizó desde VMware Cloud Director 10.3 o es una implementación nueva. Para realizar una copia de seguridad de los archivos de certificado existentes, ejecute los siguientes comandos.
    cp /opt/vmware/vcloud-director/etc/user.http.pem /opt/vmware/vcloud-director/etc/user.http.pem.original
    cp /opt/vmware/vcloud-director/etc/user.http.key /opt/vmware/vcloud-director/etc/user.http.key.original
    cp /opt/vmware/vcloud-director/etc/user.consoleproxy.pem /opt/vmware/vcloud-director/etc/user.consoleproxy.pem.original
    cp /opt/vmware/vcloud-director/etc/user.consoleproxy.key /opt/vmware/vcloud-director/etc/user.consoleproxy.key.original
  3. Copie y reemplace los archivos de clave y certificado que se debe importar en /opt/vmware/vcloud-director/etc/user.http.pem, /opt/vmware/vcloud-director/etc/user.http.key, /opt/vmware/vcloud-director/etc/user.consoleproxy.pem y /opt/vmware/vcloud-director/etc/user.consoleproxy.key.
  4. Si tiene certificados intermedios, ejecute el siguiente comando para anexar el certificado raíz firmado por una entidad de certificación y los certificados intermedios a los certificados HTTP y de proxy de consola.
    cat intermediate-certificate-file-1.cer intermediate-certificate-file-2.cer root-CA-certificate.cer >> /opt/vmware/vcloud-director/etc/user.http.pem
    
    cat intermediate-certificate-file-1.cer intermediate-certificate-file-2.cer root-CA-certificate.cer >> /opt/vmware/vcloud-director/etc/user.consoleproxy.pem

    Donde intermediate-certificate-file-1.cer e intermediate-certificate-file-2.cer son los nombres de los certificados intermedios y root-CA-certificate.cer es el nombre del certificado raíz firmado por una entidad de certificación.

  5. Ejecute el comando para importar los certificados firmados en la instancia de VMware Cloud Director.
    /opt/vmware/vcloud-director/bin/cell-management-tool certificates -j --cert /opt/vmware/vcloud-director/etc/user.http.pem --key /opt/vmware/vcloud-director/etc/user.http.key --key-password imported_key_password
    /opt/vmware/vcloud-director/bin/cell-management-tool certificates -p --cert /opt/vmware/vcloud-director/etc/user.consoleproxy.pem --key /opt/vmware/vcloud-director/etc/user.consoleproxy.key --key-password imported_key_password
  6. Para que se apliquen los nuevos certificados firmados por una entidad de certificación, reinicie el servicio vmware-vcd en el dispositivo de VMware Cloud Director.
    1. Ejecute el comando para detener el servicio.
      /opt/vmware/vcloud-director/bin/cell-management-tool cell -i $(service vmware-vcd pid cell) -s
    2. Ejecute el comando para iniciar el servicio.
      systemctl start vmware-vcd

Qué hacer a continuación