Vous pouvez déployer le dispositif VMware Cloud Director avec des certificats génériques signés. Vous pouvez utiliser ces certificats pour sécuriser un nombre illimité de serveurs qui sont des sous-domaines du nom de domaine répertorié dans le certificat.

Par défaut, lors du déploiement des dispositifs VMware Cloud Director, VMware Cloud Director génère des certificats auto-signés et les utilise pour configurer la cellule VMware Cloud Director pour la communication HTTPS.

À partir de VMware Cloud Director 10.4, le trafic de proxy de console et les communications HTTPS passent par le port 443 par défaut. Vous n'avez pas besoin d'un certificat distinct pour le proxy de console.

Note : VMware Cloud Director versions 10.4.1 et ultérieures ne prennent pas en charge l'implémentation héritée de la fonctionnalité de proxy de console.

Lorsque vous déployez correctement un dispositif principal, la logique de configuration du dispositif copie le fichier responses.properties du dispositif principal sur le stockage du service de transfert partagé NFS commun dans /opt/vmware/vcloud-director/data/transfer. Les autres dispositifs déployés pour ce groupe de serveurs VMware Cloud Director utilisent ce fichier pour se configurer automatiquement. Le fichier responses.properties inclut un chemin d'accès au certificat SSL et à la clé privée, qui inclut les certificats auto-signés générés automatiquement user.certificate.path et la clé privée user.key.path. Par défaut, ces chemins d'accès sont des fichiers PEM qui sont locaux pour chaque dispositif.

Après avoir déployé le dispositif principal, vous pouvez le reconfigurer pour qu'il utilise des certificats signés. Pour plus d'informations sur la création des certificats signés, reportez-vous à la section Créer et importer des certificats SSL signés par une autorité de certification pour votre dispositif VMware Cloud Director.

Si les certificats signés que vous utilisez sur le dispositif VMware Cloud Director principal sont des certificats signés par des caractères génériques, ces certificats peuvent s'appliquer à tous les autres dispositifs du groupe de serveurs VMware Cloud Director, c'est-à-dire aux cellules en veille et aux cellules d'application VMware Cloud Director. Vous pouvez utiliser le déploiement du dispositif avec des certificats génériques signés pour la communication HTTPS afin de configurer les cellules supplémentaires avec les certificats SSL génériques signés.

Conditions préalables

Pour vérifier qu'il s'agit de la procédure adaptée à votre environnement, familiarisez-vous avec Création et gestion de certificats SSL de votre dispositif VMware Cloud Director.

Procédure

  1. Copiez les fichiers user.http.pem et user.consoleproxy.key du dispositif principal dans le partage de transfert à l'adresse /opt/vmware/vcloud-director/data/transfer/.
  2. Définissez les autorisations du propriétaire et du groupe sur les fichiers de certificat sur vcloud.
    chown vcloud.vcloud /opt/vmware/vcloud-director/data/transfer/user.http.pem
    chown vcloud.vcloud /opt/vmware/vcloud-director/data/transfer/user.http.key
  3. Vérifiez que le propriétaire des fichiers de certificat dispose des autorisations de lecture et d'écriture.
    chmod 0750 /opt/vmware/vcloud-director/data/transfer/user.http.pem
    chmod 0750 /opt/vmware/vcloud-director/data/transfer/user.http.key
  4. Sur le dispositif principal, exécutez la commande pour importer les nouveaux certificats signés dans l'instance de VMware Cloud Director.

    Ces commandes mettent également à jour le fichier responses.properties dans le partage de transfert, en modifiant les variables user.certificate.path et user.key.path pour pointer vers les fichiers de certificat dans le partage de transfert.

    /opt/vmware/vcloud-director/bin/cell-management-tool certificates -j --cert /opt/vmware/vcloud-director/data/transfer/user.http.pem --key /opt/vmware/vcloud-director/data/transfer/user.http.key --key-password root-password
  5. Pour que les nouveaux certificats signés prennent effet, redémarrez le service vmware-vcd sur le dispositif principal.
    1. Exécutez la commande pour arrêter le service.
      /opt/vmware/vcloud-director/bin/cell-management-tool cell -i $(service vmware-vcd pid cell) -s
    2. Exécutez la commande pour démarrer le service.
      systemctl start vmware-vcd
  6. Déployez les dispositifs de cellule et de cellule d'application en veille à l'aide du mot de passe racine initial qui correspond au mot de passe de clé.

Résultats

Tous les dispositifs récemment déployés qui utilisent le même stockage de service de transfert partagé NFS sont configurés avec les mêmes certificats génériques SSL signés que ceux utilisés par le dispositif principal.