Crear y e importar certificados firmados por una entidad de certificación (CA) para el dispositivo de VMware Cloud Director proporciona el nivel más alto de confianza para las comunicaciones de SSL y ayudan a proteger las conexiones dentro de su nube.

Importante:

Después de la implementación, el dispositivo de VMware Cloud Director genera certificados autofirmados con un tamaño de clave de 2.048 bits. Debe evaluar los requisitos de seguridad de la instalación antes de elegir un tamaño de clave adecuado. Los tamaños de clave inferiores a 1024 bits ya no se admiten según la publicación especial NIST 800-131A.

En este procedimiento se utiliza como contraseña de clave privada la del usuario raíz, que se representa como root_password.

A partir de VMware Cloud Director 10.4, tanto el tráfico del proxy de consola como las comunicaciones HTTPS pasan por el puerto 443 predeterminado.

Nota: VMware Cloud Director 10.4.1 y versiones posteriores no admiten la implementación heredada de la función de proxy de consola.

Requisitos previos

Si desea comprobar que este sea el procedimiento relevante para las necesidades de su entorno, familiarícese con Creación y administración de certificados SSL del dispositivo de VMware Cloud Director.

Procedimiento

  1. Inicie sesión directamente o utilice un cliente SSH en la consola del dispositivo de VMware Cloud Director como raíz.
  2. Según las necesidades del entorno, elija una de las siguientes opciones.
    Cuando se implementa el dispositivo de VMware Cloud Director, VMware Cloud Director genera automáticamente certificados autofirmados con un tamaño de clave de 2.048 bits para los servicios HTTPS y de proxy de consola.
    • Si desea que la entidad de certificación firme los certificados que se generan con la implementación, vaya al Paso 5.
    • Si desea generar nuevos certificados con opciones personalizadas, como un tamaño de clave mayor, siga con el Paso 3.
  3. Ejecute el comando para realizar una copia de seguridad de los archivos de certificado existentes. 
    cp /opt/vmware/vcloud-director/etc/user.http.pem /opt/vmware/vcloud-director/etc/user.http.pem.original
cp /opt/vmware/vcloud-director/etc/user.http.key /opt/vmware/vcloud-director/etc/user.http.key.original
  4. Ejecute los siguientes comandos para crear pares de claves públicas y privadas para el servicio HTTPS. 
    /opt/vmware/vcloud-director/bin/cell-management-tool generate-certs --cert /opt/vmware/vcloud-director/etc/user.http.pem --key /opt/vmware/vcloud-director/etc/user.http.key --key-password root-password

    Los comandos crean o sobrescriben el archivo de certificado mediante los valores predeterminados, y crean o sobrescriben el archivo de clave privada con las contraseñas especificadas. Según la configuración de DNS del entorno, el nombre común (Common Name, CN) del emisor se establece como la dirección IP o el FQDN de cada servicio. El certificado utiliza la longitud de clave predeterminada de 2048 bits y caduca un año después de su creación.

    Importante: Debido a las restricciones de configuración en el dispositivo de VMware Cloud Director, debe utilizar las ubicaciones /opt/vmware/vcloud-director/etc/user.http.pem y /opt/vmware/vcloud-director/etc/user.http.key para los archivos de certificados HTTPS.
    Nota: Utilice la contraseña raíz del dispositivo como contraseña de clave.
  5. Cree solicitudes de firma del certificado (CSR) para el servicio HTTPS en el archivo http.csr. 
    openssl req -new -key /opt/vmware/vcloud-director/etc/user.http.key -reqexts SAN -config <(cat /etc/ssl/openssl.cnf <(printf "\n[SAN]\nsubjectAltName=DNS:vcd2.example.com,DNS:vcd2,IP:10.100.101.10\n")) -out http.csr
  6. Envíe las solicitudes de firma del certificado a la entidad de certificación.
    Si la autoridad de certificación le exige especificar un tipo de servidor web, utilice Jakarta Tomcat.
    Obtiene los certificados firmados por una entidad de certificación.
  7. Copie los certificados firmados por CA, el certificado raíz de CA y todos los certificados intermedios en el dispositivo de VMware Cloud Director y ejecute el comando para sobrescribir el certificado user.http.pem existente en el dispositivo con la versión firmada por la entidad de certificación. 
    cp ca-signed-http.pem /opt/vmware/vcloud-director/etc/user.http.pem
  8. Ejecute el siguiente comando para anexar el certificado raíz firmado por una entidad de certificación y los certificados intermedios a los certificados HTTP y de proxy de consola. 
    cat intermediate-certificate-file-1.cer intermediate-certificate-file-2.cer root-CA-certificate.cer >> /opt/vmware/vcloud-director/etc/user.http.pem
  9. Para importar los certificados a la instancia de VMware Cloud Director, ejecute el siguiente comando. 
    /opt/vmware/vcloud-director/bin/cell-management-tool certificates -j --cert /opt/vmware/vcloud-director/etc/user.http.pem --key /opt/vmware/vcloud-director/etc/user.http.key --key-password root_password
  10. Para que se apliquen los nuevos certificados firmados, reinicie el servicio vmware-vcd en el dispositivo de VMware Cloud Director.
    1. Ejecute el comando para detener el servicio. 
      /opt/vmware/vcloud-director/bin/cell-management-tool cell -i $(service vmware-vcd pid cell) -s
    2. Ejecute el comando para iniciar el servicio. 
      systemctl start vmware-vcd

Qué hacer a continuación