La creazione e l'importazione di certificati firmati dall'autorità di certificazione offre il livello di attendibilità più elevato per le comunicazioni SSL e consente di proteggere le connessioni nell'infrastruttura cloud.

Ogni server VMware Cloud Director deve supportare due endpoint SSL diversi, uno per le comunicazioni HTTPS e uno per quelle del proxy della console.

Importante: Se si utilizzano indirizzi IP separati per il servizio HTTPS e per il servizio proxy della console, è necessario completare questa procedura una volta per l'indirizzo IP del servizio HTTPS e un'altra volta per l'indirizzo IP del servizio proxy della console.

I due endpoint possono essere costituiti da indirizzi IP separati o da un singolo indirizzo IP con due porte diverse. È possibile utilizzare lo stesso certificato per entrambi gli endpoint, ad esempio utilizzando un certificato con caratteri jolly.

I certificati per entrambi gli endpoint devono includere sia un'estensione di nome distinto X.500 sia un'estensione di nome alternativo dell'oggetto X.509.

È possibile utilizzare certificati firmati da un'autorità di certificazione (CA) attendibile o certificati autofirmati.

È possibile utilizzare cell-management-tool per creare certificati SSL autofirmati. L'utilità cell-management-tool viene installata nella cella prima dell'esecuzione dell'agente di configurazione e dopo aver eseguito il file di installazione. Vedere Installazione di VMware Cloud Director nel primo membro di un gruppo di server.

Importante: In questo esempio, sono specificate le dimensioni chiave a 2084 bit, ma è opportuno valutare i requisiti di sicurezza dell'installazione, prima di scegliere le dimensioni chiave corrette. Le dimensioni chiave inferiori a 1024 bit non sono più supportate, come riportato nella Pubblicazione speciale 800-131A del NIST.

Prerequisiti

Procedura

  1. Accedere direttamente o tramite un client SSH al sistema operativo della cella del server VMware Cloud Director come root.
  2. In base alle esigenze dell'ambiente, scegliere una delle seguenti opzioni.
    • Se si dispone dei file della chiave privata e del certificato firmato dall'autorità di certificazione, andare al passaggio 6.
    • Se si desidera generare nuovi certificati con opzioni personalizzate, ad esempio una dimensione di chiave maggiore, continuare con il passaggio 3.
  3. Eseguire il comando per creare una coppia di chiavi pubblica e privata per il servizio proxy HTTPS e della console. 
    /opt/vmware/vcloud-director/bin/cell-management-tool generate-certs --cert cert.pem --key cert.key --key-password key_password

    Il comando crea o sovrascrive un file di certificato in cert.pem e il file della chiave privata in cert.key con la password specificata. I certificati vengono creati utilizzando i valori predefiniti del comando. In base alla configurazione DNS dell'ambiente, il nome comune dell'autorità emittente è impostato sull'indirizzo IP o sul nome di dominio completo per ciascun servizio. Il certificato utilizza una lunghezza chiave a 2048 bit predefinita, che scade un anno dopo la sua creazione.

    Importante: Il file di certificato, il file di chiave privata e la directory in cui sono archiviati devono essere leggibili dall'utente vcloud.vcloud. VMware Cloud Director e la directory in cui è archiviato devono essere leggibili dall'utente vcloud.vcloud. Il software di installazione VMware Cloud Director crea questo utente e gruppo.
  4. Creare una richiesta di firma del certificato nel file cert.csr. 
    openssl req -new -key cert.key -reqexts SAN -config <(cat /etc/ssl/openssl.cnf <(printf "\n[SAN]\nsubjectAltName=DNS:vcd2.example.com,DNS:vcd2,IP:10.100.101.10\n")) -out cert.csr
  5. Inviare le richieste di firma del certificato all'autorità di certificazione.
    Se l'autorità di certificazione richiede di specificare un tipo di Web server, usare Jakarta Tomcat.
    Procurarsi i certificati firmati dall'autorità di certificazione.
  6. Eseguire il comando per aggiungere il certificato root firmato dall'autorità di certificazione e tutti i certificati intermedi al certificato generato nel passaggio 2. 
    cat intermediate-certificate-file-1.cer intermediate-certificate-file-2.cer root-CA-certificate.cer >> cert.pem
  7. Ripetere questa procedura su tutti i server VMware Cloud Director nel gruppo di server.

Operazioni successive

  • Se l'istanza di VMware Cloud Director non è ancora stata configurata, eseguire lo script configure per importare i certificati in VMware Cloud Director. Vedere Configurazione delle connessioni di rete e database.
    Nota: Se i file dei certificati cert.pem o cert.key sono stati creati su un computer diverso dal server in cui è stato generato l'elenco di nomi di dominio completi con i relativi indirizzi IP associati, copiare i file cert.pem e cert.key in tale server. Durante l'esecuzione dello script di configurazione, è necessario specificare i nomi dei percorsi del certificato e della chiave privata.
  • Se l'istanza di VMware Cloud Director è già stata installata e configurata, utilizzare il comando certificates dello strumento di gestione delle celle per importare i certificati. Vedere Sostituzione di certificati per gli endpoint proxy della console e HTTPS.