Importazione di chiavi private e certificati SSL firmati dall'autorità di certificazione nell'appliance VMware Cloud Director 10.4.1 e versioni successive

Se si dispone dei file della chiave privata e del certificato firmato dall'autorità di certificazione, l'importazione di questi file nell'ambiente di VMware Cloud Director offre il livello di attendibilità più elevato per le comunicazioni SSL e consente di proteggere le connessioni nell'infrastruttura cloud.

Se si desidera importare chiavi private e certificati SSL firmati dall'autorità di certificazione in VMware Cloud Director 10.4, vedere Importazione di chiavi private e certificati SSL firmati dall'autorità di certificazione nell'appliance VMware Cloud Director 10.4.

A partire da VMware Cloud Director 10.4, sia il traffico proxy della console sia le comunicazioni HTTPS passano attraverso la porta 443 predefinita. Non è necessario un certificato separato per il proxy della console.

Nota: VMware Cloud Director 10.4.1 e versioni successive non supportano l'implementazione legacy della funzionalità proxy della console.

Prerequisiti

Per verificare che questa sia la procedura pertinente per le esigenze del proprio ambiente, familiarizzare con Creazione e gestione del certificato SSL dell'appliance di VMware Cloud Director.
Copiare i certificati intermedi, il certificato CA root e il certificato del servizio HTTPS firmato dall'autorità di certificazione nell'appliance.
Verificare che la chiave e il certificato che si desidera importare siano una chiave privata PKCS #8 con codifica PEM e un certificato X.509 con codifica PEM.

Procedura

Accedere alla console dell'appliance VMware Cloud Director come root direttamente o utilizzando un client SSH.

Eseguire il backup dei file dei certificati esistenti.

Opzione Descrizione

Opzione	Descrizione
Se l'ambiente è stato aggiornato da VMware Cloud Director 10.2.	Prendere nota dei percorsi dei file di certificato `http` e `consoleproxy` esistenti da /opt/vmware/vcloud-director/etc/global.properties utilizzando le proprietà di `user.http.pem`, `user.http.key`, `user.consoleproxy.pem` e `user.consoleproxy.key`. Per eseguire il backup dei file di certificato esistenti, utilizzare i percorsi del passaggio 2a per eseguire i comandi seguenti. cp `path_to_the_user.http.pem` /opt/vmware/vcloud-director/etc/user.http.pem.original cp `path_to_the_user.http.key` /opt/vmware/vcloud-director/etc/user.http.key.original
Se l'ambiente è stato aggiornato da VMware Cloud Director 10.3 o si tratta di una nuova distribuzione.	Per eseguire il backup dei file di certificato esistenti, eseguire i comandi seguenti. cp /opt/vmware/vcloud-director/etc/user.http.pem /opt/vmware/vcloud-director/etc/user.http.pem.original cp /opt/vmware/vcloud-director/etc/user.http.key /opt/vmware/vcloud-director/etc/user.http.key.original

Se l'ambiente è stato aggiornato da VMware Cloud Director 10.2.

Prendere nota dei percorsi dei file di certificato http e consoleproxy esistenti da /opt/vmware/vcloud-director/etc/global.properties utilizzando le proprietà di user.http.pem, user.http.key, user.consoleproxy.pem e user.consoleproxy.key.

Per eseguire il backup dei file di certificato esistenti, utilizzare i percorsi del passaggio 2a per eseguire i comandi seguenti.

cp path_to_the_user.http.pem /opt/vmware/vcloud-director/etc/user.http.pem.original
cp path_to_the_user.http.key /opt/vmware/vcloud-director/etc/user.http.key.original

Se l'ambiente è stato aggiornato da VMware Cloud Director 10.3 o si tratta di una nuova distribuzione.

Per eseguire il backup dei file di certificato esistenti, eseguire i comandi seguenti.

cp /opt/vmware/vcloud-director/etc/user.http.pem /opt/vmware/vcloud-director/etc/user.http.pem.original
cp /opt/vmware/vcloud-director/etc/user.http.key /opt/vmware/vcloud-director/etc/user.http.key.original

Copiare e sostituire i file della chiave e del certificato che è necessario importare in /opt/vmware/vcloud-director/etc/user.http.pem e /opt/vmware/vcloud-director/etc/user.http.key.
Se si dispone di certificati intermedi, eseguire il comando seguente per aggiungere il certificato root firmato dall'autorità di certificazione e qualsiasi certificato intermedio ai certificati HTTP.
```
cat intermediate-certificate-file-1.cer intermediate-certificate-file-2.cer root-CA-certificate.cer >> /opt/vmware/vcloud-director/etc/user.http.pem
```
Dove intermediate-certificate-file-1.cer e intermediate-certificate-file-2.cer sono i nomi dei certificati intermedi e root-CA-certificate.cer è il nome del certificato root firmato dall'autorità di certificazione.

Eseguire il comando per importare i certificati firmati nell'istanza di VMware Cloud Director.

/opt/vmware/vcloud-director/bin/cell-management-tool certificates -j --cert /opt/vmware/vcloud-director/etc/user.http.pem --key /opt/vmware/vcloud-director/etc/user.http.key --key-password imported_key_password

Per applicare i certificati firmati dall'autorità di certificazione, riavviare il servizio vmware-vcd nell'appliance di VMware Cloud Director.
1. Eseguire il comando per arrestare il servizio.
```
/opt/vmware/vcloud-director/bin/cell-management-tool cell -i $(service vmware-vcd pid cell) -s
```
2. Eseguire il comando per avviare il servizio.
```
systemctl start vmware-vcd
```

Operazioni successive

Se si utilizzano certificati con caratteri jolly, vedere Distribuzione dell'appliance VMware Cloud Director 10.4.1 e versioni successive con un certificato con caratteri jolly firmato per la comunicazione HTTPS.
Se non si utilizzano certificati con caratteri jolly, ripetere questa procedura in tutte le celle dell'appliance di VMware Cloud Director nel gruppo di server.
Per ulteriori informazioni sulla sostituzione dei certificati per il database PostgreSQL incorporato e per l'interfaccia utente di gestione dell'appliance di VMware Cloud Director, vedere Sostituzione di un certificato autofirmato dell'interfaccia utente di gestione dell'appliance VMware Cloud Director e di un database PostgreSQL incorporato.