Generazione di certificati autofirmati per gli endpoint proxy della console e HTTPS

Utilizzare il comando generate-certs dello strumento di gestione delle celle per generare certificati SSL autofirmati per gli endpoint proxy della console e HTTPS.

Ogni gruppo di server VMware Cloud Director deve supportare due endpoint SSL, uno per il servizio HTTPS e un altro per il servizio proxy della console. L'endpoint del servizio HTTPS supporta il VMware Cloud Director Service Provider Admin Portal, il VMware Cloud Director Tenant Portal e l'API di VMware Cloud Director. L'endpoint proxy della console remota supporta connessioni VMRC verso vApp e macchine virtuali.

Il comando generate-certs dello strumento di gestione delle celle automatizza la procedura Creazione di certificati SSL autofirmati per VMware Cloud Director in Linux.

Per generare nuovi certificati SSL autofirmati, usare una riga di comando con la seguente struttura:

cell-management-tool generate-certs options

Tabella 1. Opzioni e argomenti dello strumento di gestione delle celle, sottocomando generate-certs
Opzione	Argomento	Descrizione
--help (-h)	Nessuno	Fornisce un riepilogo dei comandi disponibili in questa categoria.
--expiration (-x)	`days-until-expiration`	Il numero di giorni alla scadenza del certificato. Impostazione predefinita: 365.
--issuer (-i)	`name`=`value` [, `name`=`value`, ...]	X.509 nome distinto dell'autorità emittente del certificato. Impostazione predefinita: `CN=FQDN`. dove `FQDN` è il nome di dominio completo della cella o il suo indirizzo IP, se non è disponibile alcun nome di dominio completo. Se si specificano più coppie di attributi e valori, separarle con virgole e racchiudere l'intero argomento tra virgolette.
--key-size (-s)	`key-size`	Le dimensioni della coppia di chiavi espresse come numero intero di bit. Impostazione predefinita: 2048. Le dimensioni chiave inferiori a 1024 bit non sono più supportate, come riportato nella Pubblicazione speciale 800-131A del NIST.
--key-password	`key-password`	Password della chiave privata generata.
--cert	`cert`	Percorso del file di certificato generato.
--key	key	Percorso del file della chiave privata generato.

Creazione di certificati autofirmati

In entrambi gli esempi si suppone che sia presente un file di certificato in /tmp/cell.pem e un file di chiave privata corrispondente in /tmp/cell.key con password kpw. Questi file vengono creati se non esistono già.

Nel presente esempio vengono creati nuovi certificati usando le impostazioni predefinite. Il nome dell'autorità emittente è impostato su CN=Unknown. Il certificato utilizza una lunghezza chiave a 2048 bit predefinita, che scade un anno dopo la sua creazione.

[root@cell1 /opt/vmware/vcloud-director/bin]# ./cell-management-tool generate-certs --cert /tmp/cell.pem --key /tmp/cell.key --key-password kpw
New certificate created and written to /tmp/cell.pem
New private key created and written to /tmp/cell.key

Questo esempio specifica i valori personalizzati per la dimensione della chiave e il nome dell'autorità emittente. Il nome dell'autorità emittente è impostato su CN=Test, L=London, C=GB. Il nuovo certificato per la connessione HTTPS ha una chiave a 4096 bit, che scade 90 giorni dopo la creazione.

[root@cell1 /opt/vmware/vcloud-director/bin]# ./cell-management-tool generate-certs --cert /tmp/cell.pem --key /tmp/cell.key --key-password kpw -i "CN=Test, L=London, C=GB" -s 4096 -x 90
New certificate created and written to /tmp/cell.pem
New private key created and written to /tmp/cell.key

Importante: I file di certificato e di chiave privata e la directory in cui sono archiviati devono essere leggibili dall'utente vcloud.vcloud. Il software di installazione VMware Cloud Director crea questo utente e gruppo.