Creazione e importazione di certificati SSL firmati dall'autorità di certificazione per VMware Cloud Director 10.4

La creazione e l'importazione di certificati firmati da un'autorità di certificazione (CA) offrono il livello di attendibilità più elevato per le comunicazioni SSL e consentono di proteggere le connessioni nel cloud. La procedura per la versione 10.4 include le impostazioni proxy della console.

Se si desidera creare e importare certificati SSL firmati dall'autorità di certificazione per VMware Cloud Director 10.4.1 o versione successiva, vedere Creazione e importazione di certificati SSL firmati dall'autorità di certificazione per l'appliance VMware Cloud Director 10.4.1 e versioni successive.

Importante: Al momento della distribuzione, l'appliance di VMware Cloud Director genera certificati autofirmati con una dimensione di chiave di 2048 bit. È necessario valutare i requisiti di sicurezza dell'installazione prima di scegliere una dimensione di chiave appropriata. Le dimensioni chiave inferiori a 1024 bit non sono più supportate, come riportato nella Pubblicazione speciale 800-131A del NIST.

La password della chiave privata utilizzata in questa procedura è la password dell'utente root ed è rappresentata come root_password.

A partire da VMware Cloud Director 10.4, sia il traffico proxy della console sia le comunicazioni HTTPS passano attraverso la porta 443 predefinita.

Nota: VMware Cloud Director 10.4.1 e versioni successive non supportano l'implementazione legacy della funzionalità proxy della console.

Per VMware Cloud Director 10.4, è possibile abilitare la funzionalità LegacyConsoleProxy dal menu delle impostazioni Contrassegni funzionalità nella scheda Amministrazione. Quando si abilita LegacyConsoleProxy, ogni cella di VMware Cloud Director deve supportare due endpoint SSL diversi, uno per le comunicazioni HTTPS e uno per quelle del proxy della console.

Questa procedura contiene le impostazioni del proxy della console perché l'appliance VMware Cloud Director 10.4 deve supportare l'attivazione facoltativa della funzionalità LegacyConsoleProxy.

Prerequisiti

Per verificare che questa sia la procedura pertinente per le esigenze del proprio ambiente, familiarizzare con Creazione e gestione del certificato SSL dell'appliance di VMware Cloud Director.

Procedura

Accedere alla console dell'appliance VMware Cloud Director come root direttamente o utilizzando un client SSH.
In base alle esigenze dell'ambiente, scegliere una delle seguenti opzioni.
Quando si distribuisce l'appliance di VMware Cloud Director, VMware Cloud Director genera automaticamente certificati autofirmati con una dimensione di chiave di 2048 bit per il servizio HTTPS e il servizio proxy della console.
- Se si desidera che l'autorità di certificazione firmi i certificati generati al momento della distribuzione, andare al Passaggio 5.
- Se si desidera generare nuovi certificati con opzioni personalizzate, ad esempio una dimensione di chiave maggiore, continuare con il Passaggio 3.

Eseguire il comando per creare un backup dei file dei certificati esistenti.

cp /opt/vmware/vcloud-director/etc/user.http.pem /opt/vmware/vcloud-director/etc/user.http.pem.original
cp /opt/vmware/vcloud-director/etc/user.http.key /opt/vmware/vcloud-director/etc/user.http.key.original
cp /opt/vmware/vcloud-director/etc/user.consoleproxy.pem /opt/vmware/vcloud-director/etc/user.consoleproxy.pem.original
cp /opt/vmware/vcloud-director/etc/user.consoleproxy.key /opt/vmware/vcloud-director/etc/user.consoleproxy.key.original

Eseguire i comandi seguenti per creare una coppia di chiavi pubblica e privata per il servizio HTTPS e per il servizio proxy della console.
```
/opt/vmware/vcloud-director/bin/cell-management-tool generate-certs --cert /opt/vmware/vcloud-director/etc/user.http.pem --key /opt/vmware/vcloud-director/etc/user.http.key --key-password root-password
/opt/vmware/vcloud-director/bin/cell-management-tool generate-certs --cert /opt/vmware/vcloud-director/etc/user.consoleproxy.pem --key /opt/vmware/vcloud-director/etc/user.consoleproxy.key --key-password root-password
```
I comandi creano o sovrascrivono il file del certificato utilizzando i valori predefiniti, quindi creano o sovrascrivono il file della chiave privata con le password specificate. In base alla configurazione DNS dell'ambiente, il nome comune dell'autorità emittente è impostato sull'indirizzo IP o sul nome di dominio completo per ciascun servizio. Il certificato utilizza una lunghezza chiave a 2048 bit predefinita, che scade un anno dopo la sua creazione.

Importante: A causa delle limitazioni di configurazione nell'appliance VMware Cloud Director, è necessario utilizzare le posizioni /opt/vmware/vcloud-director/etc/user.http.pem e /opt/vmware/vcloud-director/etc/user.http.key per i file di certificato HTTPS e /opt/vmware/vcloud-director/etc/user.consoleproxy.pem e /opt/vmware/vcloud-director/etc/user.consoleproxy.key per i file del certificato del proxy della console.

Nota: È possibile utilizzare la password root dell'appliance come password delle chiavi.
Creare richieste di firma del certificato (CSR) per il servizio HTTPS e per il servizio proxy della console.

Importante: L'appliance di VMware Cloud Director utilizza lo stesso indirizzo IP e nome host sia per il servizio HTTPS sia per il servizio proxy della console. Per questo motivo, i comandi di creazione delle richieste CSR devono disporre degli stessi DNS e IP per l'argomento dell'estensione del nome alternativo del soggetto (SAN).
1. Creare una richiesta di firma del certificato nel file http.csr.
```
openssl req -new -key /opt/vmware/vcloud-director/etc/user.http.key -reqexts SAN -config <(cat /etc/ssl/openssl.cnf <(printf "\n[SAN]\nsubjectAltName=DNS:vcd2.example.com,DNS:vcd2,IP:10.100.101.10\n")) -out http.csr
```
2. Creare una richiesta di firma del certificato nel file consoleproxy.csr.
```
openssl req -new -key /opt/vmware/vcloud-director/etc/user.consoleproxy.key -reqexts SAN -config <(cat /etc/ssl/openssl.cnf <(printf "\n[SAN]\nsubjectAltName=DNS:vcd2.example.com,DNS:vcd2,IP:10.100.101.10\n")) -out consoleproxy.csr
```
Inviare le richieste di firma del certificato all'autorità di certificazione.
Se l'autorità di certificazione richiede di specificare un tipo di Web server, usare Jakarta Tomcat.

Procurarsi i certificati firmati dall'autorità di certificazione.
Copiare i certificati firmati dall'autorità di certificazione, il certificato root dell'autorità di certificazione e tutti i certificati intermedi nell'appliance VMware Cloud Director ed eseguire i comandi per sovrascrivere i certificati esistenti.
1. Eseguire il comando per sovrascrivere il certificato user.http.pem esistente nell'appliance con la versione firmata dall'autorità di certificazione.
```
cp ca-signed-http.pem /opt/vmware/vcloud-director/etc/user.http.pem
```
2. Eseguire il comando per sovrascrivere il certificato user.consoleproxy.pem esistente nell'appliance con la versione firmata dall'autorità di certificazione.
```
cp ca-signed-consoleproxy.pem /opt/vmware/vcloud-director/etc/user.consoleproxy.pem
```

Eseguire il comando seguente per aggiungere il certificato root firmato dall'autorità di certificazione ed eventuali certificati intermedi ai certificati del proxy della console e HTTP.

cat intermediate-certificate-file-1.cer intermediate-certificate-file-2.cer root-CA-certificate.cer >> /opt/vmware/vcloud-director/etc/user.http.pem
cat intermediate-certificate-file-1.cer intermediate-certificate-file-2.cer root-CA-certificate.cer >> /opt/vmware/vcloud-director/etc/user.consoleproxy.pem

Per importare i certificati nell'istanza di VMware Cloud Director, eseguire il comando seguente.

/opt/vmware/vcloud-director/bin/cell-management-tool certificates -j --cert /opt/vmware/vcloud-director/etc/user.http.pem --key /opt/vmware/vcloud-director/etc/user.http.key --key-password root_password
/opt/vmware/vcloud-director/bin/cell-management-tool certificates -p --cert /opt/vmware/vcloud-director/etc/user.consoleproxy.pem --key /opt/vmware/vcloud-director/etc/user.consoleproxy.key --key-password root_password

Per applicare i nuovi certificati firmati, riavviare il servizio vmware-vcd nell'appliance di VMware Cloud Director.
1. Eseguire il comando per arrestare il servizio.
```
/opt/vmware/vcloud-director/bin/cell-management-tool cell -i $(service vmware-vcd pid cell) -s
```
2. Eseguire il comando per avviare il servizio.
```
systemctl start vmware-vcd
```

Operazioni successive

Se si utilizzano certificati con caratteri jolly, seguire la procedura Distribuzione dell'appliance VMware Cloud Director 10.4.1 e versioni successive con un certificato con caratteri jolly firmato per la comunicazione HTTPS in modo che tutte le istanze future dell'appliance aggiunte al cluster utilizzino gli stessi certificati firmati con caratteri jolly.
Ripetere questa procedura in tutte le istanze dell'appliance VMware Cloud Director nel gruppo di server.
Per ulteriori informazioni sulla sostituzione dei certificati per il database PostgreSQL incorporato e per l'interfaccia utente di gestione dell'appliance di VMware Cloud Director, vedere Sostituzione di un certificato autofirmato dell'interfaccia utente di gestione dell'appliance VMware Cloud Director e di un database PostgreSQL incorporato.