Se si dispone dei file della chiave privata e del certificato firmato dall'autorità di certificazione, l'importazione di questi file nell'ambiente di VMware Cloud Director offre il livello di attendibilità più elevato per le comunicazioni SSL e consente di proteggere le connessioni nell'infrastruttura cloud. La procedura per la versione 10.4 include le impostazioni proxy della console.

Se si desidera importare chiavi private e certificati firmati dall'autorità di certificazione nell'appliance VMware Cloud Director versione 10.4.1 o successiva, vedere Importazione di chiavi private e certificati SSL firmati dall'autorità di certificazione nell'appliance VMware Cloud Director 10.4.1 e versioni successive.

A partire da VMware Cloud Director 10.4, sia il traffico proxy della console sia le comunicazioni HTTPS passano attraverso la porta 443 predefinita. Non è necessario un certificato separato per il proxy della console.

Nota: VMware Cloud Director 10.4.1 e versioni successive non supportano l'implementazione legacy della funzionalità proxy della console.

Se si desidera utilizzare l'implementazione legacy con un punto di accesso proxy della console dedicato in VMware Cloud Director 10.4, è possibile abilitare la funzionalità LegacyConsoleProxy nel menu delle impostazioni Contrassegni funzionalità nella scheda Amministrazione del Service Provider Admin Portal. Per abilitare la funzionalità LegacyConsoleProxy, nell'installazione o nella distribuzione le impostazioni del proxy della console devono essere configurate in una versione precedente e trasferite tramite un aggiornamento di VMware Cloud Director. Dopo aver abilitato o disattivato la funzionalità, è necessario riavviare le celle. Se si abilita l'implementazione del proxy della console legacy, il proxy della console deve disporre di un certificato separato.

Prerequisiti

  • Per verificare che questa sia la procedura pertinente per le esigenze del proprio ambiente, familiarizzare con Creazione e gestione del certificato SSL dell'appliance di VMware Cloud Director.

  • Copiare i certificati intermedi, il certificato CA root e il certificato del servizio HTTPS firmato dall'autorità di certificazione nell'appliance.
  • Se l'implementazione del proxy della console legacy è abilitata, vedere la versione VMware Cloud Director del presente documento.

Procedura

  1. Accedere alla console dell'appliance VMware Cloud Director come root direttamente o utilizzando un client SSH.
  2. Eseguire il backup dei file dei certificati esistenti.
    Opzione Descrizione
    Se l'ambiente è stato aggiornato da VMware Cloud Director 10.2.
    1. Prendere nota dei percorsi dei file di certificato http e consoleproxy esistenti da /opt/vmware/vcloud-director/etc/global.properties utilizzando le proprietà di user.http.pem, user.http.key, user.consoleproxy.pem e user.consoleproxy.key.
    2. Per eseguire il backup dei file di certificato esistenti, utilizzare i percorsi del passaggio 2a per eseguire i comandi seguenti.
      cp path_to_the_user.http.pem /opt/vmware/vcloud-director/etc/user.http.pem.original
      cp path_to_the_user.http.key /opt/vmware/vcloud-director/etc/user.http.key.original
      cp path_to_the_user.consoleproxy.pem /opt/vmware/vcloud-director/etc/user.consoleproxy.pem.original
      cp path_to_the_user.consoleproxy.key /opt/vmware/vcloud-director/etc/user.consoleproxy.key.original
    Se l'ambiente è stato aggiornato da VMware Cloud Director 10.3 o si tratta di una nuova distribuzione. Per eseguire il backup dei file di certificato esistenti, eseguire i comandi seguenti.
    cp /opt/vmware/vcloud-director/etc/user.http.pem /opt/vmware/vcloud-director/etc/user.http.pem.original
    cp /opt/vmware/vcloud-director/etc/user.http.key /opt/vmware/vcloud-director/etc/user.http.key.original
    cp /opt/vmware/vcloud-director/etc/user.consoleproxy.pem /opt/vmware/vcloud-director/etc/user.consoleproxy.pem.original
    cp /opt/vmware/vcloud-director/etc/user.consoleproxy.key /opt/vmware/vcloud-director/etc/user.consoleproxy.key.original
  3. Copiare e sostituire i file di chiave e certificato da importare in /opt/vmware/vcloud-director/etc/user.http.pem, /opt/vmware/vcloud-director/etc/user.http.key, /opt/vmware/vcloud-director/etc/user.consoleproxy.pem e /opt/vmware/vcloud-director/etc/user.consoleproxy.key.
  4. Se si dispone di certificati intermedi, eseguire il comando seguente per aggiungere il certificato root firmato dall'autorità di certificazione ed eventuali certificati intermedi ai certificati del proxy della console e HTTP.
    cat intermediate-certificate-file-1.cer intermediate-certificate-file-2.cer root-CA-certificate.cer >> /opt/vmware/vcloud-director/etc/user.http.pem
    
    cat intermediate-certificate-file-1.cer intermediate-certificate-file-2.cer root-CA-certificate.cer >> /opt/vmware/vcloud-director/etc/user.consoleproxy.pem

    Dove intermediate-certificate-file-1.cer e intermediate-certificate-file-2.cer sono i nomi dei certificati intermedi e root-CA-certificate.cer è il nome del certificato root firmato dall'autorità di certificazione.

  5. Eseguire il comando per importare i certificati firmati nell'istanza di VMware Cloud Director.
    /opt/vmware/vcloud-director/bin/cell-management-tool certificates -j --cert /opt/vmware/vcloud-director/etc/user.http.pem --key /opt/vmware/vcloud-director/etc/user.http.key --key-password imported_key_password
    /opt/vmware/vcloud-director/bin/cell-management-tool certificates -p --cert /opt/vmware/vcloud-director/etc/user.consoleproxy.pem --key /opt/vmware/vcloud-director/etc/user.consoleproxy.key --key-password imported_key_password
  6. Per applicare i certificati firmati dall'autorità di certificazione, riavviare il servizio vmware-vcd nell'appliance di VMware Cloud Director.
    1. Eseguire il comando per arrestare il servizio.
      /opt/vmware/vcloud-director/bin/cell-management-tool cell -i $(service vmware-vcd pid cell) -s
    2. Eseguire il comando per avviare il servizio.
      systemctl start vmware-vcd

Operazioni successive