È possibile distribuire l'appliance VMware Cloud Director con certificati con caratteri jolly firmati. È possibile utilizzare questi certificati per proteggere un numero illimitato di server che sono sottodomini del nome di dominio elencato nel certificato. La procedura per la versione 10.4 include le impostazioni proxy della console.

Se si desidera distribuire l'appliance VMware Cloud Director 10.4.1 o versione successiva, vedere Distribuzione dell'appliance VMware Cloud Director 10.4.1 e versioni successive con un certificato con caratteri jolly firmato per la comunicazione HTTPS.

Per impostazione predefinita, quando si distribuiscono le appliance VMware Cloud Director, VMware Cloud Director genera certificati autofirmati e li utilizza per configurare la cella VMware Cloud Director per la comunicazione HTTPS.

A partire da VMware Cloud Director 10.4, sia il traffico proxy della console sia le comunicazioni HTTPS passano attraverso la porta 443 predefinita. Non è necessario un certificato separato per il proxy della console.

Nota: VMware Cloud Director 10.4.1 e versioni successive non supportano l'implementazione legacy della funzionalità proxy della console.

Quando si distribuisce correttamente un'appliance primaria, la logica di configurazione dell'appliance copia il file responses.properties dall'appliance primaria allo storage comune del servizio di trasferimento condiviso NFS in /opt/vmware/vcloud-director/data/transfer. Le altre appliance distribuite per questo gruppo di server VMware Cloud Director utilizzano questo file per eseguire la configurazione automaticamente. Il file responses.properties include un percorso del certificato SSL e una chiave privata, che include i certificati autofirmati generati automaticamente user.certificate.path, la chiave privata user.key.path, i certificati del proxy della console user.consoleproxy.certificate.path e la chiave privata del proxy della console user.consoleproxy.key.path. Per impostazione predefinita, questi sono percorsi dei file PEM locali per ogni appliance.

Nota: La password della chiave utilizzata per i certificati deve corrispondere alla password root iniziale utilizzata durante la distribuzione di tutte le appliance.

Dopo aver distribuito l'appliance primaria, è possibile riconfigurarla in modo che utilizzi certificati firmati. Per ulteriori informazioni sulla creazione dei certificati firmati, vedere Creazione e importazione di certificati SSL firmati dall'autorità di certificazione per l'appliance VMware Cloud Director 10.4.1 e versioni successive.

Se i certificati firmati utilizzati nell'appliance primaria VMware Cloud Director sono certificati con caratteri jolly firmati, possono essere applicati a tutte le altre appliance nel gruppo di server di VMware Cloud Director, ovvero celle di standby e celle dell'applicazione VMware Cloud Director. È possibile utilizzare la distribuzione dell'appliance con certificati con caratteri jolly firmati per la comunicazione HTTPS e proxy console per configurare le celle aggiuntive con i certificati SSL con caratteri jolly firmati.

Prerequisiti

Per verificare che questa sia la procedura pertinente per le esigenze del proprio ambiente, familiarizzare con Creazione e gestione del certificato SSL dell'appliance di VMware Cloud Director.

Procedura

  1. Copiare i file user.http.pem, user.http.key, user.consoleproxy.pem e user.consoleproxy.key dall'appliance primaria alla condivisione di trasferimento in /opt/vmware/vcloud-director/data/transfer/.
  2. Modificare il proprietario e le autorizzazioni di gruppo nei file dei certificati impostandole su vcloud.
    chown vcloud.vcloud /opt/vmware/vcloud-director/data/transfer/user.http.pem
    chown vcloud.vcloud /opt/vmware/vcloud-director/data/transfer/user.http.key
    chown vcloud.vcloud /opt/vmware/vcloud-director/data/transfer/user.consoleproxy.pem
    chown vcloud.vcloud /opt/vmware/vcloud-director/data/transfer/user.consoleproxy.key
  3. Verificare che il proprietario dei file dei certificati disponga delle autorizzazioni di lettura e scrittura.
    chmod 0750 /opt/vmware/vcloud-director/data/transfer/user.http.pem
    chmod 0750 /opt/vmware/vcloud-director/data/transfer/user.http.key
    chmod 0750 /opt/vmware/vcloud-director/data/transfer/user.consoleproxy.pem
    chmod 0750 /opt/vmware/vcloud-director/data/transfer/user.consoleproxy.key
  4. Nell'appliance primaria, eseguire il comando per importare i nuovi certificati firmati nell'istanza di VMware Cloud Director.

    Questi comandi aggiornano inoltre il file responses.properties nella condivisione di trasferimento, modificando le variabili user.certificate.path, user.key.path, user.consoleproxy.certificate.path e user.consoleproxy.key.path affinché puntino ai file dei certificati nella condivisione di trasferimento.

    /opt/vmware/vcloud-director/bin/cell-management-tool certificates -j --cert /opt/vmware/vcloud-director/data/transfer/user.http.pem --key /opt/vmware/vcloud-director/data/transfer/user.http.key --key-password root-password
    /opt/vmware/vcloud-director/bin/cell-management-tool certificates -p --cert /opt/vmware/vcloud-director/data/transfer/user.consoleproxy.pem --key /opt/vmware/vcloud-director/data/transfer/user.consoleproxy.key --key-password root-password
  5. Per applicare i nuovi certificati firmati, riavviare il servizio vmware-vcd nell'appliance primaria.
    1. Eseguire il comando per arrestare il servizio.
      /opt/vmware/vcloud-director/bin/cell-management-tool cell -i $(service vmware-vcd pid cell) -s
    2. Eseguire il comando per avviare il servizio.
      systemctl start vmware-vcd
  6. Distribuire le appliance della cella di standby e della cella dell'applicazione, utilizzando la password root iniziale che corrisponde alla password della chiave.

risultati

Tutte le appliance appena distribuite che utilizzano lo stesso storage del servizio di trasferimento condiviso NFS sono configurate con gli stessi certificati SSL con caratteri jolly utilizzati dall'appliance primaria.