Importer des clés privées et des certificats SSL signés par une autorité de certification dans le dispositif VMware Cloud Director 10.4

Si vous disposez de votre propre clé privée et de fichiers de certificat signés par une autorité de certification, leur importation dans votre environnement VMware Cloud Director fournit le niveau de confiance le plus élevé pour les communications SSL et vous aide à sécuriser les connexions de votre infrastructure de cloud. La procédure pour la version 10.4 inclut des paramètres de proxy de console.

Pour importer des clés privées et des certificats signés par une autorité de certification dans le dispositif VMware Cloud Director 10.4.1 ou version ultérieure, reportez-vous à la section Importer des clés privées et des certificats SSL signés par une autorité de certification dans le dispositif VMware Cloud Director 10.4.1 et versions ultérieures.

À partir de VMware Cloud Director 10.4, le trafic de proxy de console et les communications HTTPS passent par le port 443 par défaut. Vous n'avez pas besoin d'un certificat distinct pour le proxy de console.

Note : VMware Cloud Director 10.4.1 et versions ultérieures ne prennent pas en charge l'implémentation héritée de la fonctionnalité de proxy de console.

Si vous souhaitez utiliser l'implémentation héritée avec un point d'accès de proxy de console VMware Cloud Director 10.4 dédié, vous pouvez activer la fonctionnalité LegacyConsoleProxy à partir du menu de paramètres Indicateurs de fonctionnalité sous l'onglet Administration du Service Provider Admin Portal. Pour activer la fonctionnalité LegacyConsoleProxy, les paramètres de proxy de console de votre installation ou de votre déploiement doivent être configurés dans une version précédente et transférés via une mise à niveau de VMware Cloud Director. Après avoir activé ou désactivé la fonctionnalité, vous devez redémarrer les cellules. Si vous activez l'implémentation du proxy de console hérité, le proxy de console doit disposer d'un certificat distinct.

Conditions préalables

Pour vérifier qu'il s'agit de la procédure adaptée à votre environnement, familiarisez-vous avec Création et gestion de certificats SSL du dispositif VMware Cloud Director.
Copiez vos certificats intermédiaires, le certificat d'autorité de certification racine et le certificat de service HTTPS signé par une autorité de certification sur le dispositif.
Si l'implémentation du proxy de console héritée est activée, reportez-vous à la version VMware Cloud Director de ce document.

Procédure

Connectez-vous directement ou à l'aide d'un client SSH à la console du dispositif VMware Cloud Director en tant qu'utilisateur racine.

Sauvegardez les fichiers de certificat existants.

Option Description

Option	Description
Si votre environnement a été mis à niveau à partir de VMware Cloud Director 10.2.	Notez les chemins de fichier de certificat `http` et `consoleproxy` existants à partir de /opt/vmware/vcloud-director/etc/global.properties à l'aide des propriétés de `user.http.pem`, `user.http.key`, `user.consoleproxy.pem` et `user.consoleproxy.key`. Pour sauvegarder les fichiers de certificat existants, utilisez les chemins d'accès de l'étape 2a pour exécuter les commandes suivantes. cp `path_to_the_user.http.pem` /opt/vmware/vcloud-director/etc/user.http.pem.original cp `path_to_the_user.http.key` /opt/vmware/vcloud-director/etc/user.http.key.original cp `path_to_the_user.consoleproxy.pem` /opt/vmware/vcloud-director/etc/user.consoleproxy.pem.original cp `path_to_the_user.consoleproxy.key` /opt/vmware/vcloud-director/etc/user.consoleproxy.key.original
Si votre environnement a été mis à niveau à partir de VMware Cloud Director 10.3 ou est un nouveau déploiement.	Pour sauvegarder les fichiers de certificat existants, exécutez les commandes suivantes. cp /opt/vmware/vcloud-director/etc/user.http.pem /opt/vmware/vcloud-director/etc/user.http.pem.original cp /opt/vmware/vcloud-director/etc/user.http.key /opt/vmware/vcloud-director/etc/user.http.key.original cp /opt/vmware/vcloud-director/etc/user.consoleproxy.pem /opt/vmware/vcloud-director/etc/user.consoleproxy.pem.original cp /opt/vmware/vcloud-director/etc/user.consoleproxy.key /opt/vmware/vcloud-director/etc/user.consoleproxy.key.original

Si votre environnement a été mis à niveau à partir de VMware Cloud Director 10.2.

Notez les chemins de fichier de certificat http et consoleproxy existants à partir de /opt/vmware/vcloud-director/etc/global.properties à l'aide des propriétés de user.http.pem, user.http.key, user.consoleproxy.pem et user.consoleproxy.key.

Pour sauvegarder les fichiers de certificat existants, utilisez les chemins d'accès de l'étape 2a pour exécuter les commandes suivantes.

cp path_to_the_user.http.pem /opt/vmware/vcloud-director/etc/user.http.pem.original
cp path_to_the_user.http.key /opt/vmware/vcloud-director/etc/user.http.key.original
cp path_to_the_user.consoleproxy.pem /opt/vmware/vcloud-director/etc/user.consoleproxy.pem.original
cp path_to_the_user.consoleproxy.key /opt/vmware/vcloud-director/etc/user.consoleproxy.key.original

Si votre environnement a été mis à niveau à partir de VMware Cloud Director 10.3 ou est un nouveau déploiement.

Pour sauvegarder les fichiers de certificat existants, exécutez les commandes suivantes.

cp /opt/vmware/vcloud-director/etc/user.http.pem /opt/vmware/vcloud-director/etc/user.http.pem.original
cp /opt/vmware/vcloud-director/etc/user.http.key /opt/vmware/vcloud-director/etc/user.http.key.original
cp /opt/vmware/vcloud-director/etc/user.consoleproxy.pem /opt/vmware/vcloud-director/etc/user.consoleproxy.pem.original
cp /opt/vmware/vcloud-director/etc/user.consoleproxy.key /opt/vmware/vcloud-director/etc/user.consoleproxy.key.original

Copiez et remplacez les fichiers de certificat et de clé que vous devez importer dans /opt/vmware/vcloud-director/etc/user.http.pem, /opt/vmware/vcloud-director/etc/user.http.key, /opt/vmware/vcloud-director/etc/user.consoleproxy.pem et /opt/vmware/vcloud-director/etc/user.consoleproxy.key.
Si vous avez des certificats intermédiaires, exécutez la commande suivante pour ajouter le certificat racine signé par une autorité de certification et tous les certificats intermédiaires aux certificats HTTP et de proxy de la console.
```
cat intermediate-certificate-file-1.cer intermediate-certificate-file-2.cer root-CA-certificate.cer >> /opt/vmware/vcloud-director/etc/user.http.pem

cat intermediate-certificate-file-1.cer intermediate-certificate-file-2.cer root-CA-certificate.cer >> /opt/vmware/vcloud-director/etc/user.consoleproxy.pem
```
Où intermediate-certificate-file-1.cer et intermediate-certificate-file-2.cer sont les noms des certificats intermédiaires et root-CA-certificate.cer est le nom du certificat racine signé par une autorité de certification.

Exécutez la commande pour importer les certificats signés dans l'instance de VMware Cloud Director.

/opt/vmware/vcloud-director/bin/cell-management-tool certificates -j --cert /opt/vmware/vcloud-director/etc/user.http.pem --key /opt/vmware/vcloud-director/etc/user.http.key --key-password imported_key_password
/opt/vmware/vcloud-director/bin/cell-management-tool certificates -p --cert /opt/vmware/vcloud-director/etc/user.consoleproxy.pem --key /opt/vmware/vcloud-director/etc/user.consoleproxy.key --key-password imported_key_password

Pour que les certificats signés par une autorité de certification prennent effet, redémarrez le service vmware-vcd sur le dispositif VMware Cloud Director.
1. Exécutez la commande pour arrêter le service.
```
/opt/vmware/vcloud-director/bin/cell-management-tool cell -i $(service vmware-vcd pid cell) -s
```
2. Exécutez la commande pour démarrer le service.
```
systemctl start vmware-vcd
```

Que faire ensuite

Si vous utilisez des certificats génériques, reportez-vous à Déployer le dispositif VMware Cloud Director 10.4.1 et versions ultérieures avec un certificat générique signé pour la communication HTTPS.
Si vous n'utilisez pas de certificats génériques, répétez cette procédure sur toutes les cellules de dispositif VMware Cloud Director dans le groupe de serveurs.
Pour plus d'informations sur le remplacement des certificats pour la base de données PostgreSQL intégrée et pour l'interface utilisateur de gestion des dispositifs VMware Cloud Director, consultez Remplacer un certificat auto-signé de base de données PostgreSQL intégrée et d'interface utilisateur de gestion de dispositifs VMware Cloud Director.