La creación y la importación de certificados firmados por una entidad de certificación proporcionan el nivel más alto de confianza para las comunicaciones de SSL y ayudan a proteger las conexiones dentro de la nube.
Si desea crear e importar certificados SSL firmados por una entidad de certificación para VMware Cloud Director 10.4, consulte Crear e importar certificados SSL firmados por una entidad de certificación para VMware Cloud Director 10.4.
Importante: Después de la implementación, el dispositivo de
VMware Cloud Director genera certificados autofirmados con un tamaño de clave de 2.048 bits. Debe evaluar los requisitos de seguridad de la instalación antes de elegir un tamaño de clave adecuado. Los tamaños de clave inferiores a 1024 bits ya no se admiten según la publicación especial NIST 800-131A.
En este procedimiento se utiliza como contraseña de clave privada la del usuario raíz, que se representa como contraseña_raíz.
A partir de VMware Cloud Director 10.4, tanto el tráfico del proxy de consola como las comunicaciones HTTPS pasan por el puerto 443 predeterminado.
Nota:
VMware Cloud Director 10.4.1 y versiones posteriores no admiten la implementación heredada de la función de proxy de consola.
Procedimiento
- Inicie sesión directamente o utilice un cliente SSH en la consola del dispositivo de VMware Cloud Director como raíz.
- Según las necesidades del entorno, elija una de las siguientes opciones.
Cuando se implementa el dispositivo de
VMware Cloud Director,
VMware Cloud Director genera automáticamente certificados autofirmados con un tamaño de clave de 2.048 bits para los servicios HTTPS y de proxy de consola.
- Si desea que la entidad de certificación firme los certificados que se generan con la implementación, vaya al Paso 5.
- Si desea generar nuevos certificados con opciones personalizadas, como un tamaño de clave mayor, siga con el Paso 3.
- Ejecute el comando para realizar una copia de seguridad de los archivos de certificado existentes.
cp /opt/vmware/vcloud-director/etc/user.http.pem /opt/vmware/vcloud-director/etc/user.http.pem.original
cp /opt/vmware/vcloud-director/etc/user.http.key /opt/vmware/vcloud-director/etc/user.http.key.original
- Ejecute los siguientes comandos para crear pares de claves públicas y privadas para el servicio HTTPS.
/opt/vmware/vcloud-director/bin/cell-management-tool generate-certs --cert /opt/vmware/vcloud-director/etc/user.http.pem --key /opt/vmware/vcloud-director/etc/user.http.key --key-password root-password
Los comandos crean o sobrescriben el archivo de certificado mediante los valores predeterminados, y crean o sobrescriben el archivo de clave privada con las contraseñas especificadas. Según la configuración de DNS del entorno, el nombre común (Common Name, CN) del emisor se establece como la dirección IP o el FQDN de cada servicio. El certificado utiliza la longitud de clave predeterminada de 2048 bits y caduca un año después de su creación.
Importante: Debido a las restricciones de configuración en el dispositivo de
VMware Cloud Director, debe utilizar las ubicaciones
/opt/vmware/vcloud-director/etc/user.http.pem y
/opt/vmware/vcloud-director/etc/user.http.key para los archivos de certificados HTTPS.
Nota: Utilice la contraseña
raíz del dispositivo como contraseña de clave.
- Cree solicitudes de firma del certificado (CSR) para el servicio HTTPS en el archivo http.csr.
openssl req -new -key /opt/vmware/vcloud-director/etc/user.http.key -reqexts SAN -config <(cat /etc/ssl/openssl.cnf <(printf "\n[SAN]\nsubjectAltName=DNS:vcd2.example.com,DNS:vcd2,IP:10.100.101.10\n")) -out http.csr
- Envíe las solicitudes de firma del certificado a la entidad de certificación.
Si la autoridad de certificación le exige especificar un tipo de servidor web, utilice Jakarta Tomcat.
Obtiene los certificados firmados por una entidad de certificación.
- Copie los certificados firmados por CA, el certificado raíz de CA y todos los certificados intermedios en el dispositivo de VMware Cloud Director y ejecute el comando para sobrescribir el certificado
user.http.pem
existente en el dispositivo con la versión firmada por la entidad de certificación.
cp ca-signed-http.pem /opt/vmware/vcloud-director/etc/user.http.pem
- Ejecute el siguiente comando para anexar el certificado raíz firmado por una entidad de certificación y los certificados intermedios a los certificados HTTP y de proxy de consola.
cat intermediate-certificate-file-1.cer intermediate-certificate-file-2.cer root-CA-certificate.cer >> /opt/vmware/vcloud-director/etc/user.http.pem
- Para importar los certificados a la instancia de VMware Cloud Director, ejecute el siguiente comando.
/opt/vmware/vcloud-director/bin/cell-management-tool certificates -j --cert /opt/vmware/vcloud-director/etc/user.http.pem --key /opt/vmware/vcloud-director/etc/user.http.key --key-password root_password
- Para que se apliquen los nuevos certificados firmados, reinicie el servicio
vmware-vcd
en el dispositivo de VMware Cloud Director.
- Ejecute el comando para detener el servicio.
/opt/vmware/vcloud-director/bin/cell-management-tool cell -i $(service vmware-vcd pid cell) -s
- Ejecute el comando para iniciar el servicio.
systemctl start vmware-vcd