La création et l'importation de certificats signés par une autorité de certification pour votre dispositif VMware Cloud Director offrent le niveau de confiance le plus élevé pour les communications SSL et vous aident à sécuriser les connexions dans votre cloud.

Important :

Lors du déploiement, le dispositif VMware Cloud Director génère des certificats auto-signés avec une taille de clé de 2 048 bits. Vous devez évaluer les exigences de sécurité de votre installation avant de choisir une taille de clé appropriée. Les tailles de clés inférieures à 1 024 bits ne sont plus prises en charge par la publication spéciale NIST 800-131A.

Le mot de passe de clé privée utilisé dans cette procédure est le mot de passe de l'utilisateur racine qui est représenté par root_password.

À partir de VMware Cloud Director 10.4, le trafic de proxy de console et les communications HTTPS passent par le port 443 par défaut.

Note : VMware Cloud Director versions 10.4.1 et ultérieures ne prennent pas en charge l'implémentation héritée de la fonctionnalité de proxy de console.

Conditions préalables

Pour vérifier qu'il s'agit de la procédure adaptée à votre environnement, familiarisez-vous avec Création et gestion de certificats SSL de votre dispositif VMware Cloud Director.

Procédure

  1. Connectez-vous directement ou à l'aide d'un client SSH à la console du dispositif VMware Cloud Director en tant qu'utilisateur racine.
  2. Selon les besoins de votre environnement, choisissez l'une des options suivantes.
    Lorsque vous déployez le dispositif VMware Cloud Director, VMware Cloud Director génère automatiquement des certificats auto-signés avec une taille de clé de 2 048 bits pour le service HTTPS et le service de proxy de la console.
    • Si vous souhaitez que votre autorité de certification signe les certificats générés lors du déploiement, passez à l'Étape 5.
    • Si vous souhaitez générer de nouveaux certificats avec des options personnalisées telles qu'une taille de clé supérieure, par exemple, passez à l'Étape 3.
  3. Exécutez la commande pour sauvegarder les fichiers de certificat existants. 
    cp /opt/vmware/vcloud-director/etc/user.http.pem /opt/vmware/vcloud-director/etc/user.http.pem.original
cp /opt/vmware/vcloud-director/etc/user.http.key /opt/vmware/vcloud-director/etc/user.http.key.original
  4. Exécutez les commandes suivantes pour créer des paires de clés publiques et privées pour le service HTTPS. 
    /opt/vmware/vcloud-director/bin/cell-management-tool generate-certs --cert /opt/vmware/vcloud-director/etc/user.http.pem --key /opt/vmware/vcloud-director/etc/user.http.key --key-password root-password

    Les commandes créent ou remplacent le fichier de certificat en utilisant les valeurs par défaut, et créent ou remplacent le fichier de clé privée par les mots de passe spécifiés. Selon la configuration DNS de votre environnement, le nom commun (CN) de l'émetteur est défini sur l'adresse IP ou le nom de domaine complet de chaque service. Le certificat utilise la clé 2 048 bits par défaut et expire un an après sa création.

    Important : En raison de restrictions de configuration dans le dispositif VMware Cloud Director, vous devez utiliser les emplacements /opt/vmware/vcloud-director/etc/user.http.pem et /opt/vmware/vcloud-director/etc/user.http.key pour les fichiers de certificat HTTPS.
    Note : Utilisez le mot de passe racine du dispositif comme mots de passe des clés.
  5. Créez des demandes de signature de certificat (CSR) pour le service HTTPS dans le fichier http.csr. 
    openssl req -new -key /opt/vmware/vcloud-director/etc/user.http.key -reqexts SAN -config <(cat /etc/ssl/openssl.cnf <(printf "\n[SAN]\nsubjectAltName=DNS:vcd2.example.com,DNS:vcd2,IP:10.100.101.10\n")) -out http.csr
  6. Envoyez les demandes de signature à votre autorité de certification.
    Si votre autorité de certification requiert que vous spécifiiez un type de serveur Web, utilisez Jakarta Tomcat.
    Vous obtenez les certificats signés par une autorité de certification.
  7. Copiez les certificats signés par une autorité de certification, le certificat racine de l'autorité de certification et tous les certificats intermédiaires sur le dispositif VMware Cloud Director, puis exécutez la commande pour remplacer le certificat user.http.pem existant sur le dispositif par votre version signée par l'autorité de certification. 
    cp ca-signed-http.pem /opt/vmware/vcloud-director/etc/user.http.pem
  8. Pour ajouter le certificat racine signé par une autorité de certification et tous les certificats intermédiaires aux certificats HTTP et de proxy de la console, exécutez la commande suivante. 
    cat intermediate-certificate-file-1.cer intermediate-certificate-file-2.cer root-CA-certificate.cer >> /opt/vmware/vcloud-director/etc/user.http.pem
  9. Pour importer les certificats dans l'instance de VMware Cloud Director, exécutez la commande suivante. 
    /opt/vmware/vcloud-director/bin/cell-management-tool certificates -j --cert /opt/vmware/vcloud-director/etc/user.http.pem --key /opt/vmware/vcloud-director/etc/user.http.key --key-password root_password
  10. Pour que les nouveaux certificats signés prennent effet, redémarrez le service vmware-vcd sur le dispositif VMware Cloud Director.
    1. Exécutez la commande pour arrêter le service. 
      /opt/vmware/vcloud-director/bin/cell-management-tool cell -i $(service vmware-vcd pid cell) -s
    2. Exécutez la commande pour démarrer le service. 
      systemctl start vmware-vcd

Que faire ensuite