Créer et importer des certificats SSL signés par une autorité de certification pour VMware Cloud Director sous Linux

La création et l'importation de certificats signés par une autorité de certification offrent le niveau de confiance le plus élevé pour les communications SSL et vous aident à sécuriser les connexions de votre infrastructure cloud.

À partir de VMware Cloud Director 10.4, le trafic de proxy de console et les communications HTTPS passent par le port 443 par défaut. Vous n'avez pas besoin d'un certificat distinct pour le proxy de console.

Note : VMware Cloud Director versions 10.4.1 et ultérieures ne prennent pas en charge l'implémentation héritée de la fonctionnalité de proxy de console.

Le certificat pour le point de terminaison HTTPS doit inclure un nom distinct X.500 et une extension de nom alternatif d'objet X.509.

Vous pouvez utiliser un certificat signé par une autorité de certification de confiance ou des certificats auto-signés.

Vous pouvez utiliser cell-management-tool pour créer les certificats SSL auto-signés. L'utilitaire cell-management-tool est installé sur la cellule avant l'exécution de l'agent de configuration et après l'exécution du fichier d'installation. Reportez-vous à Installez VMware Cloud Director sur le premier membre d'un groupe de serveurs.

Important : Ces exemples spécifient une taille de clé de 2 048 bits, mais vous devez évaluer les conditions requises de sécurité de votre installation avant de choisir une taille de clé appropriée. Les tailles de clés inférieures à 1 024 bits ne sont plus prises en charge par la publication spéciale NIST 800-131A.

Conditions préalables

Téléchargez et installez OpenSSL.
Pour plus d'informations sur les options disponibles pour la commande generate-certs, consultez Génération de certificats auto-signés pour les points de terminaison HTTPS et de proxy de console.
Pour plus d'informations sur les options disponibles pour la commande certificates, reportez-vous à la section Remplacement des certificats pour le point de terminaison HTTPS VMware Cloud Director.

Procédure

Connectez-vous, directement ou à l'aide d'un client SSH, au système d'exploitation du serveur VMware Cloud Director en tant qu'utilisateur racine.
Selon les besoins de votre environnement, choisissez l'une des options suivantes.
- Si vous disposez de vos propres clé privée et fichiers de certificat signés par une autorité de certification, passez à l'étape 6.
- Si vous souhaitez générer de nouveaux certificats avec des options personnalisées, telles qu'une taille de clé supérieure, passez à l'étape 3.
Pour créer une paire de clés publique et privée pour le service HTTPS, exécutez la commande suivante.
```
/opt/vmware/vcloud-director/bin/cell-management-tool generate-certs --cert cert.pem --key cert.key --key-password key_password
```
La commande crée ou remplace un fichier de certificat sur cert.pem et le fichier de clé privée sur cert.key avec le mot de passe spécifié. Les certificats sont créés à l'aide des valeurs par défaut de la commande. Selon la configuration DNS de votre environnement, le nom commun de l'émetteur est défini sur l'adresse IP ou le nom de domaine complet de chaque service. Le certificat utilise la clé 2 048 bits par défaut et expire un an après sa création.

Important : Les fichiers de certificat et de clé privée, ainsi que le répertoire dans lequel il sont stockés doivent être lisibles par le vcloud.vcloud de l'utilisateur. VMware Cloud Director et le répertoire dans lequel il est stocké doivent être lisibles par le vcloud.vcloud de l'utilisateur. Le programme d'installation VMware Cloud Director crée cet utilisateur et ce groupe.

Créez une demande de signature de certificat dans le fichier cert.csr.

openssl req -new -key cert.key -reqexts SAN -config <(cat /etc/ssl/openssl.cnf <(printf "\n[SAN]\nsubjectAltName=DNS:vcd2.example.com,DNS:vcd2,IP:10.100.101.10\n")) -out cert.csr

Envoyez les demandes de signature à votre autorité de certification.
Si votre autorité de certification requiert que vous spécifiiez un type de serveur Web, utilisez Jakarta Tomcat.

Vous obtenez les certificats signés par une autorité de certification.
Exécutez la commande pour ajouter le certificat racine signé par une autorité de certification et tous les certificats intermédiaires au certificat que vous avez généré à l'étape 2.
```
cat intermediate-certificate-file-1.cer intermediate-certificate-file-2.cer root-CA-certificate.cer >> cert.pem
```
Répétez cette procédure sur tous les serveurs VMware Cloud Director du groupe de serveurs.

Que faire ensuite

Si vous n'avez pas encore configuré votre instance de VMware Cloud Director, exécutez le script configure pour importer le des certificats dans VMware Cloud Director. Reportez-vous à Configuration des connexions au réseau et à la base de données VMware Cloud Director.

Note : Si vous avez créé les fichiers de certificat cert.pem ou cert.key sur un ordinateur autre que le serveur sur lequel vous avez généré la liste des noms de domaine complets et les adresses IP associées, copiez à présent les fichiers cert.pem et cert.key sur ce serveur. Vous avez besoin des noms de chemin de certificat et de clé privée lorsque vous exécutez le script de configuration.
Si vous avez déjà installé et configuré votre instance de VMware Cloud Director, utilisez la commande certificates de l'outil de gestion des cellules pour importer les certificats. Reportez-vous à Remplacement des certificats pour le point de terminaison HTTPS VMware Cloud Director.