I certificati autofirmati possono semplificare la configurazione di SSL per VMware Cloud Director negli ambienti in cui l'attendibilità rappresenta un problema solo marginale.

A partire da VMware Cloud Director 10.4, sia il traffico proxy della console sia le comunicazioni HTTPS passano attraverso la porta 443 predefinita. Non è necessario un certificato separato per il proxy della console.

Nota: VMware Cloud Director 10.4.1 e versioni successive non supportano l'implementazione legacy della funzionalità proxy della console.

Per VMware Cloud Director 10.4, se si desidera utilizzare l'implementazione legacy con un punto di accesso proxy della console dedicato, è possibile abilitare la funzionalità LegacyConsoleProxy nel menu delle impostazioni Contrassegni funzionalità nella scheda Amministrazione del Service Provider Admin Portal. Per abilitare la funzionalità LegacyConsoleProxy, nell'installazione o nella distribuzione le impostazioni del proxy della console devono essere configurate in una versione precedente e trasferite tramite un aggiornamento di VMware Cloud Director. Dopo aver abilitato o disattivato la funzionalità, è necessario riavviare le celle. Se si abilita l'implementazione del proxy della console legacy, il proxy della console deve avere un certificato separato. Vedere la versione VMware Cloud Director 10.3 del presente documento.

È possibile utilizzare cell-management-tool per creare certificati SSL autofirmati. L'utilità cell-management-tool viene installata nella cella prima dell'esecuzione dell'agente di configurazione e dopo aver eseguito il file di installazione. Vedere Installazione di VMware Cloud Director nel primo membro di un gruppo di server.

Importante: In questo esempio, sono specificate le dimensioni chiave a 2084 bit, ma è opportuno valutare i requisiti di sicurezza dell'installazione, prima di scegliere le dimensioni chiave corrette. Le dimensioni chiave inferiori a 1024 bit non sono più supportate, come riportato nella Pubblicazione speciale 800-131A del NIST.

Procedura

  1. Accedere direttamente o tramite un client SSH al sistema operativo del server VMware Cloud Director come root.
  2. Creare una coppia di chiavi pubblica e privata. 
    /opt/vmware/vcloud-director/bin/cell-management-tool generate-certs --cert cert.pem --key cert.key --key-password passwd

    Il comando crea il certificato cert.pem con la chiave privata cert.key e la password passwd. cell-management-tool crea i certificati utilizzando i valori predefiniti del comando. In base alla configurazione DNS dell'ambiente, il nome comune dell'autorità emittente è impostato sull'indirizzo IP o sul nome di dominio completo per ciascun servizio. Il certificato utilizza una lunghezza chiave a 2048 bit predefinita, che scade un anno dopo la sua creazione.

    Importante: Il file di certificato, il file di chiave privata e la directory in cui sono archiviati devono essere leggibili dall'utente vcloud.vcloud. Il software di installazione VMware Cloud Director crea questo utente e gruppo.

Operazioni successive

Prendere nota dei nomi dei percorsi del certificato e della chiave privata. Quando si esegue lo script di configurazione per creare le connessioni di rete e del database per la cella di VMware Cloud Director, sono necessari questi nomi di percorso. Vedere Configurazione delle connessioni di rete e database.