Créer et importer des certificats SSL signés par une autorité de certification pour le dispositif VMware Cloud Director 10.4

La création et l'importation de certificats signés par une autorité de certification offrent le niveau de confiance le plus élevé pour les communications SSL et vous aident à sécuriser les connexions dans votre cloud. La procédure pour la version 10.4 inclut des paramètres de proxy de console.

Si vous souhaitez créer et importer des certificats SSL signés par une autorité de certification pour VMware Cloud Director 10.4.1 ou version ultérieure, reportez-vous à la section Créer et importer des certificats SSL signés par une autorité de certification pour le dispositif VMware Cloud Director 10.4.1 et versions ultérieures.

Important : Lors du déploiement, le dispositif VMware Cloud Director génère des certificats auto-signés avec une taille de clé de 2 048 bits. Vous devez évaluer les exigences de sécurité de votre installation avant de choisir une taille de clé appropriée. Les tailles de clés inférieures à 1 024 bits ne sont plus prises en charge par la publication spéciale NIST 800-131A.

Le mot de passe de clé privée utilisé dans cette procédure est le mot de passe de l'utilisateur racine qui est représenté par root_password.

À partir de VMware Cloud Director 10.4, le trafic de proxy de console et les communications HTTPS passent par le port 443 par défaut.

Note : VMware Cloud Director 10.4.1 et versions ultérieures ne prennent pas en charge l'implémentation héritée de la fonctionnalité de proxy de console.

Pour VMware Cloud Director 10.4, vous pouvez activer la fonctionnalité LegacyConsoleProxy dans le menu des paramètres Indicateurs de fonctionnalité sous l'onglet Administration. Lorsque vous activez LegacyConsoleProxy, chaque cellule VMware Cloud Director doit prendre en charge deux points de terminaison SSL différents : un pour les communications HTTPS et un pour les communications de proxy de la console.

Cette procédure contient des paramètres de proxy de la console, car le dispositif VMware Cloud Director 10.4 doit prendre en charge l'activation facultative de la fonctionnalité LegacyConsoleProxy.

Conditions préalables

Pour vérifier qu'il s'agit de la procédure adaptée à votre environnement, familiarisez-vous avec Création et gestion de certificats SSL du dispositif VMware Cloud Director.

Procédure

Connectez-vous directement ou à l'aide d'un client SSH à la console du dispositif VMware Cloud Director en tant qu'utilisateur racine.
Selon les besoins de votre environnement, choisissez l'une des options suivantes.
Lorsque vous déployez le dispositif VMware Cloud Director, VMware Cloud Director génère automatiquement des certificats auto-signés avec une taille de clé de 2 048 bits pour le service HTTPS et le service de proxy de la console.
- Si vous souhaitez que votre autorité de certification signe les certificats générés lors du déploiement, passez à l'Étape 5.
- Si vous souhaitez générer de nouveaux certificats avec des options personnalisées telles qu'une taille de clé supérieure, par exemple, passez à l'Étape 3.

Exécutez la commande pour sauvegarder les fichiers de certificat existants.

cp /opt/vmware/vcloud-director/etc/user.http.pem /opt/vmware/vcloud-director/etc/user.http.pem.original
cp /opt/vmware/vcloud-director/etc/user.http.key /opt/vmware/vcloud-director/etc/user.http.key.original
cp /opt/vmware/vcloud-director/etc/user.consoleproxy.pem /opt/vmware/vcloud-director/etc/user.consoleproxy.pem.original
cp /opt/vmware/vcloud-director/etc/user.consoleproxy.key /opt/vmware/vcloud-director/etc/user.consoleproxy.key.original

Exécutez les commandes suivantes pour créer des paires de clés publique et privée pour le service HTTPS et pour le service de proxy de la console.
```
/opt/vmware/vcloud-director/bin/cell-management-tool generate-certs --cert /opt/vmware/vcloud-director/etc/user.http.pem --key /opt/vmware/vcloud-director/etc/user.http.key --key-password root-password
/opt/vmware/vcloud-director/bin/cell-management-tool generate-certs --cert /opt/vmware/vcloud-director/etc/user.consoleproxy.pem --key /opt/vmware/vcloud-director/etc/user.consoleproxy.key --key-password root-password
```
Les commandes créent ou remplacent le fichier de certificat en utilisant les valeurs par défaut, et créent ou remplacent le fichier de clé privée par les mots de passe spécifiés. Selon la configuration DNS de votre environnement, le nom commun (CN) de l'émetteur est défini sur l'adresse IP ou le nom de domaine complet de chaque service. Le certificat utilise la clé 2 048 bits par défaut et expire un an après sa création.

Important : En raison de restrictions relatives à la configuration dans le dispositif VMware Cloud Director, vous devez utiliser les emplacements /opt/vmware/vcloud-director/etc/user.http.pem et /opt/vmware/vcloud-director/etc/user.http.key pour les fichiers de certificat HTTPS et /opt/vmware/vcloud-director/etc/user.consoleproxy.pem et /opt/vmware/vcloud-director/etc/user.consoleproxy.key pour les fichiers de certificat de proxy de la console.

Note : Utilisez le mot de passe racine du dispositif comme mots de passe des clés.
Créez des demandes de signature de certificats (CSR) pour le service HTTPS et le service de proxy de console.

Important : Le dispositif VMware Cloud Director partage la même adresse IP et le même nom d'hôte pour le service HTTPS et le service de proxy de la console. C'est pourquoi les commandes de création de CSR doivent avoir les mêmes DNS et adresses IP pour l'argument d'extension du nom de remplacement du sujet (SAN).
1. Créez une demande de signature de certificat dans le fichier http.csr.
```
openssl req -new -key /opt/vmware/vcloud-director/etc/user.http.key -reqexts SAN -config <(cat /etc/ssl/openssl.cnf <(printf "\n[SAN]\nsubjectAltName=DNS:vcd2.example.com,DNS:vcd2,IP:10.100.101.10\n")) -out http.csr
```
2. Créez une demande de signature de certificat dans le fichier consoleproxy.csr.
```
openssl req -new -key /opt/vmware/vcloud-director/etc/user.consoleproxy.key -reqexts SAN -config <(cat /etc/ssl/openssl.cnf <(printf "\n[SAN]\nsubjectAltName=DNS:vcd2.example.com,DNS:vcd2,IP:10.100.101.10\n")) -out consoleproxy.csr
```
Envoyez les demandes de signature à votre autorité de certification.
Si votre autorité de certification requiert que vous spécifiiez un type de serveur Web, utilisez Jakarta Tomcat.

Vous obtenez les certificats signés par une autorité de certification.
Copiez les certificats signés par une autorité de certification, le certificat racine de l'autorité de certification et tous les certificats intermédiaires sur le dispositif VMware Cloud Director, puis exécutez les commandes pour remplacer les certificats existants.
1. Exécutez la commande pour remplacer le certificat user.http.pem existant sur le dispositif par votre version signée par l'autorité de certification.
```
cp ca-signed-http.pem /opt/vmware/vcloud-director/etc/user.http.pem
```
2. Exécutez la commande pour remplacer l'instance existante de user.consoleproxy.pem sur le dispositif par votre version signée par l'autorité de certification.
```
cp ca-signed-consoleproxy.pem /opt/vmware/vcloud-director/etc/user.consoleproxy.pem
```

Pour ajouter le certificat racine signé par une autorité de certification et tous les certificats intermédiaires aux certificats HTTP et de proxy de la console, exécutez la commande suivante.

cat intermediate-certificate-file-1.cer intermediate-certificate-file-2.cer root-CA-certificate.cer >> /opt/vmware/vcloud-director/etc/user.http.pem
cat intermediate-certificate-file-1.cer intermediate-certificate-file-2.cer root-CA-certificate.cer >> /opt/vmware/vcloud-director/etc/user.consoleproxy.pem

Pour importer les certificats dans l'instance de VMware Cloud Director, exécutez la commande suivante.

/opt/vmware/vcloud-director/bin/cell-management-tool certificates -j --cert /opt/vmware/vcloud-director/etc/user.http.pem --key /opt/vmware/vcloud-director/etc/user.http.key --key-password root_password
/opt/vmware/vcloud-director/bin/cell-management-tool certificates -p --cert /opt/vmware/vcloud-director/etc/user.consoleproxy.pem --key /opt/vmware/vcloud-director/etc/user.consoleproxy.key --key-password root_password

Pour que les nouveaux certificats signés prennent effet, redémarrez le service vmware-vcd sur le dispositif VMware Cloud Director.
1. Exécutez la commande pour arrêter le service.
```
/opt/vmware/vcloud-director/bin/cell-management-tool cell -i $(service vmware-vcd pid cell) -s
```
2. Exécutez la commande pour démarrer le service.
```
systemctl start vmware-vcd
```

Que faire ensuite

Si vous utilisez des certificats génériques, suivez la procédure Déployer le dispositif VMware Cloud Director 10.4.1 et versions ultérieures avec un certificat générique signé pour la communication HTTPS afin que les futures instances de dispositif que vous ajoutez au cluster utilisent les mêmes certificats signés avec des caractères génériques.
Répétez cette procédure sur toutes les instances de dispositif VMware Cloud Director du groupe de serveurs.
Pour plus d'informations sur le remplacement des certificats pour la base de données PostgreSQL intégrée et pour l'interface utilisateur de gestion des dispositifs VMware Cloud Director, consultez Remplacer un certificat auto-signé de base de données PostgreSQL intégrée et d'interface utilisateur de gestion de dispositifs VMware Cloud Director.