Crear e importar certificados SSL firmados por una entidad de certificación para VMware Cloud Director 10.4

Crear y e importar certificados firmados por una entidad de certificación (CA) proporciona el nivel más alto de confianza para las comunicaciones de SSL y ayudan a proteger las conexiones dentro de su nube. El procedimiento para la versión 10.4 incluye la configuración del proxy de consola.

Si desea crear e importar certificados SSL firmados por una entidad de certificación para VMware Cloud Director 10.4.1 o una versión posterior, consulte Crear e importar certificados SSL firmados por una entidad de certificación para el dispositivo de VMware Cloud Director 10.4.1 y versiones posteriores.

Importante: Después de la implementación, el dispositivo de VMware Cloud Director genera certificados autofirmados con un tamaño de clave de 2.048 bits. Debe evaluar los requisitos de seguridad de la instalación antes de elegir un tamaño de clave adecuado. Los tamaños de clave inferiores a 1024 bits ya no se admiten según la publicación especial NIST 800-131A.

En este procedimiento se utiliza como contraseña de clave privada la del usuario raíz, que se representa como contraseña_raíz.

A partir de VMware Cloud Director 10.4, tanto el tráfico del proxy de consola como las comunicaciones HTTPS pasan por el puerto 443 predeterminado.

Nota: VMware Cloud Director 10.4.1 y versiones posteriores no admiten la implementación heredada de la función de proxy de consola.

Para VMware Cloud Director 10.4, puede habilitar la función LegacyConsoleProxy desde el menú de configuración Marcas de función en la pestaña Administración. Cuando habilita LegacyConsoleProxy, cada celda de VMware Cloud Director debe admitir dos endpoints de SSL diferentes: uno para HTTPS y otro para las comunicaciones de proxy de consola.

Este procedimiento contiene ajustes del proxy de consola porque el dispositivo de VMware Cloud Director 10.4 debe admitir la activación opcional de la función LegacyConsoleProxy.

Requisitos previos

Si desea comprobar que este sea el procedimiento relevante para las necesidades de su entorno, familiarícese con Creación y administración de certificados SSL del dispositivo de VMware Cloud Director.

Procedimiento

Inicie sesión directamente o utilice un cliente SSH en la consola del dispositivo de VMware Cloud Director como raíz.
Según las necesidades del entorno, elija una de las siguientes opciones.
Cuando se implementa el dispositivo de VMware Cloud Director, VMware Cloud Director genera automáticamente certificados autofirmados con un tamaño de clave de 2.048 bits para los servicios HTTPS y de proxy de consola.
- Si desea que la entidad de certificación firme los certificados que se generan con la implementación, vaya al Paso 5.
- Si desea generar nuevos certificados con opciones personalizadas, como un tamaño de clave mayor, siga con el Paso 3.

Ejecute el comando para realizar una copia de seguridad de los archivos de certificado existentes.

cp /opt/vmware/vcloud-director/etc/user.http.pem /opt/vmware/vcloud-director/etc/user.http.pem.original
cp /opt/vmware/vcloud-director/etc/user.http.key /opt/vmware/vcloud-director/etc/user.http.key.original
cp /opt/vmware/vcloud-director/etc/user.consoleproxy.pem /opt/vmware/vcloud-director/etc/user.consoleproxy.pem.original
cp /opt/vmware/vcloud-director/etc/user.consoleproxy.key /opt/vmware/vcloud-director/etc/user.consoleproxy.key.original

Ejecute los siguientes comandos para crear pares de claves pública y privada para los servicios HTTPS y de proxy de consola.
```
/opt/vmware/vcloud-director/bin/cell-management-tool generate-certs --cert /opt/vmware/vcloud-director/etc/user.http.pem --key /opt/vmware/vcloud-director/etc/user.http.key --key-password root-password
/opt/vmware/vcloud-director/bin/cell-management-tool generate-certs --cert /opt/vmware/vcloud-director/etc/user.consoleproxy.pem --key /opt/vmware/vcloud-director/etc/user.consoleproxy.key --key-password root-password
```
Los comandos crean o sobrescriben el archivo de certificado mediante los valores predeterminados, y crean o sobrescriben el archivo de clave privada con las contraseñas especificadas. Según la configuración de DNS del entorno, el nombre común (Common Name, CN) del emisor se establece como la dirección IP o el FQDN de cada servicio. El certificado utiliza la longitud de clave predeterminada de 2048 bits y caduca un año después de su creación.

Importante: Debido a las restricciones de configuración en el dispositivo de VMware Cloud Director, debe utilizar las ubicaciones /opt/vmware/vcloud-director/etc/user.http.pem y /opt/vmware/vcloud-director/etc/user.http.key para los archivos de certificado HTTPS, y /opt/vmware/vcloud-director/etc/user.consoleproxy.pem y /opt/vmware/vcloud-director/etc/user.consoleproxy.key para los archivos de certificado de proxy de consola.

Nota: Utilice la contraseña raíz del dispositivo como contraseña de clave.
Cree solicitudes de firma del certificado (Certificate Signing Request, CSR) para los servicios HTTPS y de proxy de consola.

Importante: El dispositivo de VMware Cloud Director comparte la misma dirección IP o nombre de host en los servicios HTTPS y de proxy de consola. Por eso, los comandos de creación de CSR deben especificar los mismos DNS y direcciones IP para el argumento de extensión de nombre alternativo del firmante (Subject Alternative Name, SAN).
1. Cree una solicitud de firma del certificado en el archivo http.csr.
```
openssl req -new -key /opt/vmware/vcloud-director/etc/user.http.key -reqexts SAN -config <(cat /etc/ssl/openssl.cnf <(printf "\n[SAN]\nsubjectAltName=DNS:vcd2.example.com,DNS:vcd2,IP:10.100.101.10\n")) -out http.csr
```
2. Cree una solicitud de firma del certificado en el archivo consoleproxy.csr.
```
openssl req -new -key /opt/vmware/vcloud-director/etc/user.consoleproxy.key -reqexts SAN -config <(cat /etc/ssl/openssl.cnf <(printf "\n[SAN]\nsubjectAltName=DNS:vcd2.example.com,DNS:vcd2,IP:10.100.101.10\n")) -out consoleproxy.csr
```
Envíe las solicitudes de firma del certificado a la entidad de certificación.
Si la autoridad de certificación le exige especificar un tipo de servidor web, utilice Jakarta Tomcat.

Obtiene los certificados firmados por una entidad de certificación.
Copie los certificados firmados por CA, el certificado raíz de CA y todos los certificados intermedios en el dispositivo de VMware Cloud Director y ejecute los comandos para sobrescribir los certificados existentes.
1. Ejecute el comando para sobrescribir el certificado de user.http.pem existente en el dispositivo con la versión firmada por la entidad de certificación.
```
cp ca-signed-http.pem /opt/vmware/vcloud-director/etc/user.http.pem
```
2. Ejecute el comando para sobrescribir el user.consoleproxy.pem existente en el dispositivo con su versión firmada por la entidad de certificación.
```
cp ca-signed-consoleproxy.pem /opt/vmware/vcloud-director/etc/user.consoleproxy.pem
```

Ejecute el siguiente comando para anexar el certificado raíz firmado por una entidad de certificación y los certificados intermedios a los certificados HTTP y de proxy de consola.

cat intermediate-certificate-file-1.cer intermediate-certificate-file-2.cer root-CA-certificate.cer >> /opt/vmware/vcloud-director/etc/user.http.pem
cat intermediate-certificate-file-1.cer intermediate-certificate-file-2.cer root-CA-certificate.cer >> /opt/vmware/vcloud-director/etc/user.consoleproxy.pem

Para importar los certificados a la instancia de VMware Cloud Director, ejecute el siguiente comando.

/opt/vmware/vcloud-director/bin/cell-management-tool certificates -j --cert /opt/vmware/vcloud-director/etc/user.http.pem --key /opt/vmware/vcloud-director/etc/user.http.key --key-password root_password
/opt/vmware/vcloud-director/bin/cell-management-tool certificates -p --cert /opt/vmware/vcloud-director/etc/user.consoleproxy.pem --key /opt/vmware/vcloud-director/etc/user.consoleproxy.key --key-password root_password

Para que se apliquen los nuevos certificados firmados, reinicie el servicio vmware-vcd en el dispositivo de VMware Cloud Director.
1. Ejecute el comando para detener el servicio.
```
/opt/vmware/vcloud-director/bin/cell-management-tool cell -i $(service vmware-vcd pid cell) -s
```
2. Ejecute el comando para iniciar el servicio.
```
systemctl start vmware-vcd
```

Qué hacer a continuación

Si utiliza certificados comodín, siga el procedimiento Implementar el dispositivo de VMware Cloud Director 10.4.1 y versiones posteriores con un certificado comodín firmado para las comunicaciones HTTPS para que las instancias futuras del dispositivo que agregue al clúster usen los mismos certificados comodín firmados.
Repita este procedimiento para todas las instancias de dispositivos de VMware Cloud Director del grupo de servidores.
Si desea obtener más información sobre cómo sustituir los certificados para la base de datos de PostgreSQL integrada y la interfaz de usuario de administración de dispositivos de VMware Cloud Director, consulte Reemplazar un certificado autofirmado de interfaz de usuario de administración de dispositivos de VMware Cloud Director y de una instancia integrada de PostgreSQL.