La creazione e l'importazione di certificati firmati da un'autorità di certificazione (CA) offrono il livello di attendibilità più elevato per le comunicazioni SSL e consentono di proteggere le connessioni nel cloud.

Se si desidera creare e importare certificati SSL firmati dall'autorità di certificazione per VMware Cloud Director 10.4, vedere Creazione e importazione di certificati SSL firmati dall'autorità di certificazione per VMware Cloud Director 10.4.

Importante: Al momento della distribuzione, l'appliance di VMware Cloud Director genera certificati autofirmati con una dimensione di chiave di 2048 bit. È necessario valutare i requisiti di sicurezza dell'installazione prima di scegliere una dimensione di chiave appropriata. Le dimensioni chiave inferiori a 1024 bit non sono più supportate, come riportato nella Pubblicazione speciale 800-131A del NIST.

La password della chiave privata utilizzata in questa procedura è la password dell'utente root ed è rappresentata come root_password.

A partire da VMware Cloud Director 10.4, sia il traffico proxy della console sia le comunicazioni HTTPS passano attraverso la porta 443 predefinita.

Nota: VMware Cloud Director 10.4.1 e versioni successive non supportano l'implementazione legacy della funzionalità proxy della console.

Prerequisiti

Per verificare che questa sia la procedura pertinente per le esigenze del proprio ambiente, familiarizzare con Creazione e gestione del certificato SSL dell'appliance di VMware Cloud Director.

Procedura

  1. Accedere alla console dell'appliance VMware Cloud Director come root direttamente o utilizzando un client SSH.
  2. In base alle esigenze dell'ambiente, scegliere una delle seguenti opzioni.
    Quando si distribuisce l'appliance di VMware Cloud Director, VMware Cloud Director genera automaticamente certificati autofirmati con una dimensione di chiave di 2048 bit per il servizio HTTPS e il servizio proxy della console.
    • Se si desidera che l'autorità di certificazione firmi i certificati generati al momento della distribuzione, andare al Passaggio 5.
    • Se si desidera generare nuovi certificati con opzioni personalizzate, ad esempio una dimensione di chiave maggiore, continuare con il Passaggio 3.
  3. Eseguire il comando per creare un backup dei file dei certificati esistenti.
    cp /opt/vmware/vcloud-director/etc/user.http.pem /opt/vmware/vcloud-director/etc/user.http.pem.original
    cp /opt/vmware/vcloud-director/etc/user.http.key /opt/vmware/vcloud-director/etc/user.http.key.original
  4. Eseguire i comandi seguenti per creare coppie di chiavi pubbliche e private per il servizio HTTPS.
    /opt/vmware/vcloud-director/bin/cell-management-tool generate-certs --cert /opt/vmware/vcloud-director/etc/user.http.pem --key /opt/vmware/vcloud-director/etc/user.http.key --key-password root-password

    I comandi creano o sovrascrivono il file del certificato utilizzando i valori predefiniti, quindi creano o sovrascrivono il file della chiave privata con le password specificate. In base alla configurazione DNS dell'ambiente, il nome comune dell'autorità emittente è impostato sull'indirizzo IP o sul nome di dominio completo per ciascun servizio. Il certificato utilizza una lunghezza chiave a 2048 bit predefinita, che scade un anno dopo la sua creazione.

    Importante: A causa delle restrizioni della configurazione nell'appliance di VMware Cloud Director, è necessario utilizzare le posizioni /opt/vmware/vcloud-director/etc/user.http.pem e /opt/vmware/vcloud-director/etc/user.http.key per i file del certificato HTTPS.
    Nota: È possibile utilizzare la password root dell'appliance come password delle chiavi.
  5. Creare le richieste di firma del certificato per il servizio HTTPS nel file http.csr.
    openssl req -new -key /opt/vmware/vcloud-director/etc/user.http.key -reqexts SAN -config <(cat /etc/ssl/openssl.cnf <(printf "\n[SAN]\nsubjectAltName=DNS:vcd2.example.com,DNS:vcd2,IP:10.100.101.10\n")) -out http.csr
  6. Inviare le richieste di firma del certificato all'autorità di certificazione.
    Se l'autorità di certificazione richiede di specificare un tipo di Web server, usare Jakarta Tomcat.
    Procurarsi i certificati firmati dall'autorità di certificazione.
  7. Copiare i certificati firmati dall'autorità di certificazione, il certificato root dell'autorità di certificazione e tutti i certificati intermedi nell'appliance VMware Cloud Director ed eseguire il comando per sovrascrivere il certificato user.http.pem esistente nell'appliance con la versione firmata dall'autorità di certificazione.
    cp ca-signed-http.pem /opt/vmware/vcloud-director/etc/user.http.pem
  8. Eseguire il comando seguente per aggiungere il certificato root firmato dall'autorità di certificazione ed eventuali certificati intermedi ai certificati del proxy della console e HTTP.
    cat intermediate-certificate-file-1.cer intermediate-certificate-file-2.cer root-CA-certificate.cer >> /opt/vmware/vcloud-director/etc/user.http.pem
  9. Per importare i certificati nell'istanza di VMware Cloud Director, eseguire il comando seguente.
    /opt/vmware/vcloud-director/bin/cell-management-tool certificates -j --cert /opt/vmware/vcloud-director/etc/user.http.pem --key /opt/vmware/vcloud-director/etc/user.http.key --key-password root_password
  10. Per applicare i nuovi certificati firmati, riavviare il servizio vmware-vcd nell'appliance di VMware Cloud Director.
    1. Eseguire il comando per arrestare il servizio.
      /opt/vmware/vcloud-director/bin/cell-management-tool cell -i $(service vmware-vcd pid cell) -s
    2. Eseguire il comando per avviare il servizio.
      systemctl start vmware-vcd

Operazioni successive