La creazione e l'importazione di certificati firmati da un'autorità di certificazione (CA) offrono il livello di attendibilità più elevato per le comunicazioni SSL e consentono di proteggere le connessioni nel cloud.

Ogni server VMware Cloud Director deve supportare due endpoint SSL diversi, uno per le comunicazioni HTTPS e uno per quelle del proxy della console.

Nell'appliance di VMware Cloud Director, questi due endpoint condividono lo stesso indirizzo IP o nome host, ma utilizzano due porte distinte, ovvero 443 per le comunicazioni HTTPS e 8443 per le comunicazioni proxy della console. È possibile utilizzare lo stesso certificato per entrambi gli endpoint, ad esempio utilizzando un certificato con caratteri jolly.

I certificati per entrambi gli endpoint devono includere sia un'estensione di nome distinto X.500 sia un'estensione di nome alternativo dell'oggetto X.509.

Se si dispone già di chiavi private e di file di certificati firmati dall'autorità di certificazione, seguire la procedura descritta in Importazione di chiavi private e certificati SSL firmati dall'autorità di certificazione nell'appliance di VMware Cloud Director.

Importante: Al momento della distribuzione, l'appliance di VMware Cloud Director genera certificati autofirmati con una dimensione di chiave di 2048 bit. È necessario valutare i requisiti di sicurezza dell'installazione prima di scegliere una dimensione di chiave appropriata. Le dimensioni chiave inferiori a 1024 bit non sono più supportate, come riportato nella Pubblicazione speciale 800-131A del NIST.

La password della chiave privata utilizzata in questa procedura è la password dell'utente root ed è rappresentata come root_password.

Procedura

  1. Accedere alla console dell'appliance VMware Cloud Director come root direttamente o utilizzando un client SSH.
  2. In base alle esigenze dell'ambiente, scegliere una delle seguenti opzioni.
    Quando si distribuisce l'appliance di VMware Cloud Director, VMware Cloud Director genera automaticamente certificati autofirmati con una dimensione di chiave di 2048 bit per il servizio HTTPS e il servizio proxy della console.
    • Se si desidera che l'autorità di certificazione firmi i certificati generati al momento della distribuzione, andare al Passaggio 5.
    • Se si desidera generare nuovi certificati con opzioni personalizzate, ad esempio una dimensione di chiave maggiore, continuare con il Passaggio 3.
  3. Eseguire il comando per creare un backup dei file dei certificati esistenti.
    cp /opt/vmware/vcloud-director/etc/user.http.pem /opt/vmware/vcloud-director/etc/user.http.pem.original
    cp /opt/vmware/vcloud-director/etc/user.http.key /opt/vmware/vcloud-director/etc/user.http.key.original
    cp /opt/vmware/vcloud-director/etc/user.consoleproxy.pem /opt/vmware/vcloud-director/etc/user.consoleproxy.pem.original
    cp /opt/vmware/vcloud-director/etc/user.consoleproxy.key /opt/vmware/vcloud-director/etc/user.consoleproxy.key.original
  4. Eseguire i comandi seguenti per creare una coppia di chiavi pubblica e privata per il servizio HTTPS e per il servizio proxy della console.
    /opt/vmware/vcloud-director/bin/cell-management-tool generate-certs --cert /opt/vmware/vcloud-director/etc/user.http.pem --key /opt/vmware/vcloud-director/etc/user.http.key --key-password root-password
    /opt/vmware/vcloud-director/bin/cell-management-tool generate-certs --cert /opt/vmware/vcloud-director/etc/user.consoleproxy.pem --key /opt/vmware/vcloud-director/etc/user.consoleproxy.key --key-password root-password

    I comandi creano o sovrascrivono il file del certificato utilizzando i valori predefiniti, quindi creano o sovrascrivono il file della chiave privata con le password specificate. In base alla configurazione DNS dell'ambiente, il nome comune dell'autorità emittente è impostato sull'indirizzo IP o sul nome di dominio completo per ciascun servizio. Il certificato utilizza una lunghezza chiave a 2048 bit predefinita, che scade un anno dopo la sua creazione.

    Importante: A causa delle limitazioni di configurazione nell'appliance VMware Cloud Director, è necessario utilizzare le posizioni /opt/vmware/vcloud-director/etc/user.http.pem e /opt/vmware/vcloud-director/etc/user.http.key per i file di certificato HTTPS e /opt/vmware/vcloud-director/etc/user.consoleproxy.pem e /opt/vmware/vcloud-director/etc/user.consoleproxy.key per i file del certificato del proxy della console.
    Nota: È possibile utilizzare la password root dell'appliance come password delle chiavi.
  5. Creare richieste di firma del certificato (CSR) per il servizio HTTPS e per il servizio proxy della console.
    Importante: L'appliance di VMware Cloud Director utilizza lo stesso indirizzo IP e nome host sia per il servizio HTTPS sia per il servizio proxy della console. Per questo motivo, i comandi di creazione delle richieste CSR devono disporre degli stessi DNS e IP per l'argomento dell'estensione del nome alternativo del soggetto (SAN).
    1. Creare una richiesta di firma del certificato nel file http.csr.
      openssl req -new -key /opt/vmware/vcloud-director/etc/user.http.key -reqexts SAN -config <(cat /etc/ssl/openssl.cnf <(printf "\n[SAN]\nsubjectAltName=DNS:vcd2.example.com,DNS:vcd2,IP:10.100.101.10\n")) -out http.csr
    2. Creare una richiesta di firma del certificato nel file consoleproxy.csr.
      openssl req -new -key /opt/vmware/vcloud-director/etc/user.consoleproxy.key -reqexts SAN -config <(cat /etc/ssl/openssl.cnf <(printf "\n[SAN]\nsubjectAltName=DNS:vcd2.example.com,DNS:vcd2,IP:10.100.101.10\n")) -out consoleproxy.csr
  6. Inviare le richieste di firma del certificato all'autorità di certificazione.
    Se l'autorità di certificazione richiede di specificare un tipo di Web server, usare Jakarta Tomcat.
    Procurarsi i certificati firmati dall'autorità di certificazione.
  7. Copiare i certificati firmati dall'autorità di certificazione, il certificato root dell'autorità di certificazione e tutti i certificati intermedi nell'appliance VMware Cloud Director ed eseguire i comandi per sovrascrivere i certificati esistenti.
    1. Eseguire il comando per sovrascrivere il certificato user.http.pem esistente nell'appliance con la versione firmata dall'autorità di certificazione.
      cp ca-signed-http.pem /opt/vmware/vcloud-director/etc/user.http.pem
    2. Eseguire il comando per sovrascrivere il certificato user.consoleproxy.pem esistente nell'appliance con la versione firmata dall'autorità di certificazione.
      cp ca-signed-consoleproxy.pem /opt/vmware/vcloud-director/etc/user.consoleproxy.pem
  8. Eseguire il comando per aggiungere il certificato root firmato dall'autorità di certificazione e tutti i certificati intermedi al certificato del proxy della console e HTTP.
    cat intermediate-certificate-file-1.cer intermediate-certificate-file-2.cer root-CA-certificate.cer >> /opt/vmware/vcloud-director/etc/user.http.pem
    cat intermediate-certificate-file-1.cer intermediate-certificate-file-2.cer root-CA-certificate.cer >> /opt/vmware/vcloud-director/etc/user.consoleproxy.pem
  9. Eseguire il comando per importare i certificati nell'istanza di VMware Cloud Director.
    /opt/vmware/vcloud-director/bin/cell-management-tool certificates -j --cert /opt/vmware/vcloud-director/etc/user.http.pem --key /opt/vmware/vcloud-director/etc/user.http.key --key-password root_password
    /opt/vmware/vcloud-director/bin/cell-management-tool certificates -p --cert /opt/vmware/vcloud-director/etc/user.consoleproxy.pem --key /opt/vmware/vcloud-director/etc/user.consoleproxy.key --key-password root_password
  10. Per applicare i nuovi certificati firmati, riavviare il servizio vmware-vcd nell'appliance di VMware Cloud Director.
    1. Eseguire il comando per arrestare il servizio.
      /opt/vmware/vcloud-director/bin/cell-management-tool cell -i $(service vmware-vcd pid cell) -s
    2. Eseguire il comando per avviare il servizio.
      systemctl start vmware-vcd

Operazioni successive