La creazione e l'importazione di certificati firmati dall'autorità di certificazione offre il livello di attendibilità più elevato per le comunicazioni SSL e consente di proteggere le connessioni nell'infrastruttura cloud.

A partire da VMware Cloud Director 10.4, sia il traffico proxy della console sia le comunicazioni HTTPS passano attraverso la porta 443 predefinita. Non è necessario un certificato separato per il proxy della console.

Nota: VMware Cloud Director 10.4.1 e versioni successive non supportano l'implementazione legacy della funzionalità proxy della console.

Per VMware Cloud Director 10.4, se si desidera utilizzare l'implementazione legacy con un punto di accesso proxy della console dedicato, è possibile abilitare la funzionalità LegacyConsoleProxy nel menu delle impostazioni Contrassegni funzionalità nella scheda Amministrazione del Service Provider Admin Portal. Per abilitare la funzionalità LegacyConsoleProxy, nell'installazione o nella distribuzione le impostazioni del proxy della console devono essere configurate in una versione precedente e trasferite tramite un aggiornamento di VMware Cloud Director. Dopo aver abilitato o disattivato la funzionalità, è necessario riavviare le celle. Se si abilita l'implementazione del proxy della console legacy, il proxy della console deve avere un certificato separato. Vedere la versione VMware Cloud Director 10.3 del presente documento.

Il certificato per l'endpoint HTTPS deve includere sia un'estensione di nome distinto X.500 sia un'estensione di nome alternativo dell'oggetto X.509.

È possibile utilizzare un certificato firmato da un'autorità di certificazione (CA) attendibile o un certificato autofirmato.

È possibile utilizzare cell-management-tool per creare il certificato SSL autofirmato. L'utilità cell-management-tool viene installata nella cella prima dell'esecuzione dell'agente di configurazione e dopo aver eseguito il file di installazione. Vedere Installazione di VMware Cloud Director nel primo membro di un gruppo di server.

Importante: In questo esempio, sono specificate le dimensioni chiave a 2084 bit, ma è opportuno valutare i requisiti di sicurezza dell'installazione, prima di scegliere le dimensioni chiave corrette. Le dimensioni chiave inferiori a 1024 bit non sono più supportate, come riportato nella Pubblicazione speciale 800-131A del NIST.

Prerequisiti

Procedura

  1. Accedere direttamente o tramite un client SSH al sistema operativo della cella del server VMware Cloud Director come root.
  2. In base alle esigenze dell'ambiente, scegliere una delle seguenti opzioni.
    • Se si dispone dei file della chiave privata e del certificato firmato dall'autorità di certificazione, andare al passaggio 6.
    • Se si desidera generare nuovi certificati con opzioni personalizzate, ad esempio una dimensione di chiave maggiore, continuare con il passaggio 3.
  3. Per creare una coppia di chiavi pubblica e privata per il servizio HTTPS, eseguire il comando seguente. 
    /opt/vmware/vcloud-director/bin/cell-management-tool generate-certs --cert cert.pem --key cert.key --key-password key_password

    Il comando crea o sovrascrive un file di certificato in cert.pem e il file della chiave privata in cert.key con la password specificata. I certificati vengono creati utilizzando i valori predefiniti del comando. In base alla configurazione DNS dell'ambiente, il nome comune dell'autorità emittente è impostato sull'indirizzo IP o sul nome di dominio completo per ciascun servizio. Il certificato utilizza una lunghezza chiave a 2048 bit predefinita, che scade un anno dopo la sua creazione.

    Importante: Il file di certificato, il file di chiave privata e la directory in cui sono archiviati devono essere leggibili dall'utente vcloud.vcloud. VMware Cloud Director e la directory in cui è archiviato devono essere leggibili dall'utente vcloud.vcloud. Il software di installazione VMware Cloud Director crea questo utente e gruppo.
  4. Creare una richiesta di firma del certificato nel file cert.csr. 
    openssl req -new -key cert.key -reqexts SAN -config <(cat /etc/ssl/openssl.cnf <(printf "\n[SAN]\nsubjectAltName=DNS:vcd2.example.com,DNS:vcd2,IP:10.100.101.10\n")) -out cert.csr
  5. Inviare le richieste di firma del certificato all'autorità di certificazione.
    Se l'autorità di certificazione richiede di specificare un tipo di Web server, usare Jakarta Tomcat.
    Procurarsi i certificati firmati dall'autorità di certificazione.
  6. Eseguire il comando per aggiungere il certificato root firmato dall'autorità di certificazione e tutti i certificati intermedi al certificato generato nel passaggio 2. 
    cat intermediate-certificate-file-1.cer intermediate-certificate-file-2.cer root-CA-certificate.cer >> cert.pem
  7. Ripetere questa procedura su tutti i server VMware Cloud Director nel gruppo di server.

Operazioni successive

  • Se l'istanza di VMware Cloud Director non è ancora stata configurata, eseguire lo script configure per importare i certificati in VMware Cloud Director. Vedere Configurazione delle connessioni di rete e database.
    Nota: Se i file dei certificati cert.pem o cert.key sono stati creati su un computer diverso dal server in cui è stato generato l'elenco di nomi di dominio completi con i relativi indirizzi IP associati, copiare i file cert.pem e cert.key in tale server. Durante l'esecuzione dello script di configurazione, è necessario specificare i nomi dei percorsi del certificato e della chiave privata.
  • Se l'istanza di VMware Cloud Director è già stata installata e configurata, utilizzare il comando certificates dello strumento di gestione delle celle per importare i certificati. Vedere Sostituzione di certificati per l'endpoint HTTPS.