Génération de certificats auto-signés pour les points de terminaison HTTPS et de proxy de console

Utilisez la commande generate-certs de l'outil de gestion des cellules pour générer des certificats SSL auto-signés pour les points de terminaison HTTPS et de proxy de console.

Chaque groupe de serveurs VMware Cloud Director doit prendre en charge deux points de terminaison SSL : un pour le service HTTPS et un autre pour le service de proxy de console. Le point de terminaison du service HTTPS prend en charge le VMware Cloud Director Service Provider Admin Portal, le VMware Cloud Director Tenant Portal et VMware Cloud Director API. Le point de terminaison de proxy de console distante prend en charge les connexions VMRC aux vApp et aux machines virtuelles.

La commande generate-certs de l'outil de gestion des cellules automatise la procédure Créer des certificats SSL auto-signés pour VMware Cloud Director sous Linux.

Pour générer de nouveaux certificats SSL auto-signés, utilisez une ligne de commande au format suivant :

cell-management-tool generate-certs options

Tableau 1. Options et arguments de l'outil de gestion des cellules, sous-commande generate-certs
Option	Argument	Description
--help (-h)	Aucune	Fournit un résumé des commandes disponibles dans cette catégorie.
--expiration (-x)	`days-until-expiration`	Nombre de jours avant l'expiration des certificats. Réglé par défaut sur 365.
--issuer (-i)	`name`=`value` [, `name`=`value`, ...]	Nom distinct X.509 de l'émetteur du certificat. Réglé par défaut sur `CN=FQDN`. où `FQDN` est le nom de domaine complet de la cellule ou son adresse IP si aucun nom de domaine complet n'est disponible. Si vous spécifiez plusieurs paires attribut/valeur, séparez-les par des virgules et placez des guillemets autour de l'argument.
--key-size (-s)	`key-size`	Taille de paire de clés exprimée sous forme de nombre entier de bits. Réglé par défaut sur 2 048. Les tailles de clés inférieures à 1 024 ne sont plus prises en charge par la publication spéciale NIST 800-131A.
--key-password	`key-password`	Mot de passe de la clé privée générée.
--cert	`cert`	Chemin d'accès au fichier de certificat généré.
--key	key	Chemin d'accès au fichier de clé privée généré.

Création de certificats auto-signés

Ces deux exemples supposent que le fichier de certificat se trouve dans /tmp/cell.pem et le fichier de clé privée correspondant se trouve dans /tmp/cell.key avec le mot de passe kpw. S'ils n'existent pas déjà, ces fichiers sont créés.

Cet exemple crée les nouveaux certificats à l'aide des valeurs par défaut. Le nom de l'émetteur est défini sur CN=Unknown. Le certificat utilise la clé 2 048 bits par défaut et expire un an après sa création.

[root@cell1 /opt/vmware/vcloud-director/bin]# ./cell-management-tool generate-certs --cert /tmp/cell.pem --key /tmp/cell.key --key-password kpw
New certificate created and written to /tmp/cell.pem
New private key created and written to /tmp/cell.key

Cet exemple spécifie des valeurs personnalisées pour la taille de clé et le nom de l'émetteur. Le nom de l'émetteur est défini sur CN=Test, L=London, C=GB. Le nouveau certificat pour la connexion HTTPS a une clé de 4 096 bits et expire 90 jours après sa création.

[root@cell1 /opt/vmware/vcloud-director/bin]# ./cell-management-tool generate-certs --cert /tmp/cell.pem --key /tmp/cell.key --key-password kpw -i "CN=Test, L=London, C=GB" -s 4096 -x 90
New certificate created and written to /tmp/cell.pem
New private key created and written to /tmp/cell.key

Important : Les fichiers de certificat et de clé privée, et le répertoire dans lequel il sont stockés doivent être accessible par l'utilisateur vcloud.vcloud. Le programme d'installation VMware Cloud Director crée cet utilisateur et ce groupe.