La création et l'importation de certificats signés par une autorité de certification offrent le niveau de confiance le plus élevé pour les communications SSL et vous aident à sécuriser les connexions dans votre cloud.

Chaque serveur VMware Cloud Director doit prendre en charge deux points de terminaison SSL différents : un pour les communications HTTPS et un pour les communications de proxy de la console.

Dans le dispositif VMware Cloud Director, ces deux points de terminaison partagent la même adresse IP ou le même nom d'hôte, mais utilisent deux ports distincts : 443 pour HTTPS et 8443 pour les communications de proxy de la console. Vous pouvez utiliser le même certificat pour les deux points de terminaison, par exemple, en utilisant un certificat de caractère générique.

Les certificats pour ces deux points de terminaison doivent inclure un nom distinct X.500 et une extension de nom alternatif d'objet X.509.

Si vous disposez déjà de votre propre clé privée et de fichiers de certificats signés par une autorité de certification, suivez la procédure décrite dans Importer des clés privées et des certificats SSL signés par une autorité de certification dans le dispositif VMware Cloud Director.

Important : Lors du déploiement, le dispositif VMware Cloud Director génère des certificats auto-signés avec une taille de clé de 2 048 bits. Vous devez évaluer les exigences de sécurité de votre installation avant de choisir une taille de clé appropriée. Les tailles de clés inférieures à 1 024 bits ne sont plus prises en charge par la publication spéciale NIST 800-131A.

Le mot de passe de clé privée utilisé dans cette procédure est le mot de passe de l'utilisateur racine qui est représenté par root_password.

Procédure

  1. Connectez-vous directement ou à l'aide d'un client SSH à la console du dispositif VMware Cloud Director en tant qu'utilisateur racine.
  2. Selon les besoins de votre environnement, choisissez l'une des options suivantes.
    Lorsque vous déployez le dispositif VMware Cloud Director, VMware Cloud Director génère automatiquement des certificats auto-signés avec une taille de clé de 2 048 bits pour le service HTTPS et le service de proxy de la console.
    • Si vous souhaitez que votre autorité de certification signe les certificats générés lors du déploiement, passez à l'Étape 5.
    • Si vous souhaitez générer de nouveaux certificats avec des options personnalisées telles qu'une taille de clé supérieure, par exemple, passez à l'Étape 3.
  3. Exécutez la commande pour sauvegarder les fichiers de certificat existants.
    cp /opt/vmware/vcloud-director/etc/user.http.pem /opt/vmware/vcloud-director/etc/user.http.pem.original
    cp /opt/vmware/vcloud-director/etc/user.http.key /opt/vmware/vcloud-director/etc/user.http.key.original
    cp /opt/vmware/vcloud-director/etc/user.consoleproxy.pem /opt/vmware/vcloud-director/etc/user.consoleproxy.pem.original
    cp /opt/vmware/vcloud-director/etc/user.consoleproxy.key /opt/vmware/vcloud-director/etc/user.consoleproxy.key.original
  4. Exécutez les commandes suivantes pour créer des paires de clés publique et privée pour le service HTTPS et pour le service de proxy de la console.
    /opt/vmware/vcloud-director/bin/cell-management-tool generate-certs --cert /opt/vmware/vcloud-director/etc/user.http.pem --key /opt/vmware/vcloud-director/etc/user.http.key --key-password root-password
    /opt/vmware/vcloud-director/bin/cell-management-tool generate-certs --cert /opt/vmware/vcloud-director/etc/user.consoleproxy.pem --key /opt/vmware/vcloud-director/etc/user.consoleproxy.key --key-password root-password

    Les commandes créent ou remplacent le fichier de certificat en utilisant les valeurs par défaut, et créent ou remplacent le fichier de clé privée par les mots de passe spécifiés. Selon la configuration DNS de votre environnement, le nom commun (CN) de l'émetteur est défini sur l'adresse IP ou le nom de domaine complet de chaque service. Le certificat utilise la clé 2 048 bits par défaut et expire un an après sa création.

    Important : En raison de restrictions relatives à la configuration dans le dispositif VMware Cloud Director, vous devez utiliser les emplacements /opt/vmware/vcloud-director/etc/user.http.pem et /opt/vmware/vcloud-director/etc/user.http.key pour les fichiers de certificat HTTPS et /opt/vmware/vcloud-director/etc/user.consoleproxy.pem et /opt/vmware/vcloud-director/etc/user.consoleproxy.key pour les fichiers de certificat de proxy de la console.
    Note : Utilisez le mot de passe racine du dispositif comme mots de passe des clés.
  5. Créez des demandes de signature de certificats (CSR) pour le service HTTPS et le service de proxy de console.
    Important : Le dispositif VMware Cloud Director partage la même adresse IP et le même nom d'hôte pour le service HTTPS et le service de proxy de la console. C'est pourquoi les commandes de création de CSR doivent avoir les mêmes DNS et adresses IP pour l'argument d'extension du nom de remplacement du sujet (SAN).
    1. Créez une demande de signature de certificat dans le fichier http.csr.
      openssl req -new -key /opt/vmware/vcloud-director/etc/user.http.key -reqexts SAN -config <(cat /etc/ssl/openssl.cnf <(printf "\n[SAN]\nsubjectAltName=DNS:vcd2.example.com,DNS:vcd2,IP:10.100.101.10\n")) -out http.csr
    2. Créez une demande de signature de certificat dans le fichier consoleproxy.csr.
      openssl req -new -key /opt/vmware/vcloud-director/etc/user.consoleproxy.key -reqexts SAN -config <(cat /etc/ssl/openssl.cnf <(printf "\n[SAN]\nsubjectAltName=DNS:vcd2.example.com,DNS:vcd2,IP:10.100.101.10\n")) -out consoleproxy.csr
  6. Envoyez les demandes de signature à votre autorité de certification.
    Si votre autorité de certification requiert que vous spécifiiez un type de serveur Web, utilisez Jakarta Tomcat.
    Vous obtenez les certificats signés par une autorité de certification.
  7. Copiez les certificats signés par une autorité de certification, le certificat racine de l'autorité de certification et tous les certificats intermédiaires sur le dispositif VMware Cloud Director, puis exécutez les commandes pour remplacer les certificats existants.
    1. Exécutez la commande pour remplacer le certificat user.http.pem existant sur le dispositif par votre version signée par l'autorité de certification.
      cp ca-signed-http.pem /opt/vmware/vcloud-director/etc/user.http.pem
    2. Exécutez la commande pour remplacer l'instance existante de user.consoleproxy.pem sur le dispositif par votre version signée par l'autorité de certification.
      cp ca-signed-consoleproxy.pem /opt/vmware/vcloud-director/etc/user.consoleproxy.pem
  8. Exécutez la commande pour ajouter le certificat racine signé par une autorité de certification et tous les certificats intermédiaires au certificat HTTP et au certificat de proxy de console.
    cat intermediate-certificate-file-1.cer intermediate-certificate-file-2.cer root-CA-certificate.cer >> /opt/vmware/vcloud-director/etc/user.http.pem
    cat intermediate-certificate-file-1.cer intermediate-certificate-file-2.cer root-CA-certificate.cer >> /opt/vmware/vcloud-director/etc/user.consoleproxy.pem
  9. Exécutez la commande pour importer les certificats dans l'instance de VMware Cloud Director.
    /opt/vmware/vcloud-director/bin/cell-management-tool certificates -j --cert /opt/vmware/vcloud-director/etc/user.http.pem --key /opt/vmware/vcloud-director/etc/user.http.key --key-password root_password
    /opt/vmware/vcloud-director/bin/cell-management-tool certificates -p --cert /opt/vmware/vcloud-director/etc/user.consoleproxy.pem --key /opt/vmware/vcloud-director/etc/user.consoleproxy.key --key-password root_password
  10. Pour que les nouveaux certificats signés prennent effet, redémarrez le service vmware-vcd sur le dispositif VMware Cloud Director.
    1. Exécutez la commande pour arrêter le service.
      /opt/vmware/vcloud-director/bin/cell-management-tool cell -i $(service vmware-vcd pid cell) -s
    2. Exécutez la commande pour démarrer le service.
      systemctl start vmware-vcd

Que faire ensuite