Se si dispone dei file della chiave privata e del certificato firmato dall'autorità di certificazione, l'importazione di questi file nell'ambiente di VMware Cloud Director offre il livello di attendibilità più elevato per le comunicazioni SSL e consente di proteggere le connessioni nell'infrastruttura cloud.

A partire da VMware Cloud Director 10.4, sia il traffico proxy della console sia le comunicazioni HTTPS passano attraverso la porta 443 predefinita. Non è necessario un certificato separato per il proxy della console.

Nota: VMware Cloud Director 10.4.1 e versioni successive non supportano l'implementazione legacy della funzionalità proxy della console.

Prerequisiti

  • Per verificare che questa sia la procedura pertinente per le esigenze del proprio ambiente, familiarizzare con Creazione e gestione del certificato SSL dell'appliance di VMware Cloud Director.

  • Copiare i certificati intermedi, il certificato CA root e il certificato del servizio HTTPS firmato dall'autorità di certificazione nell'appliance.
  • Verificare che la chiave e il certificato che si desidera importare siano una chiave privata PKCS #8 con codifica PEM e un certificato X.509 con codifica PEM.

Procedura

  1. Accedere alla console dell'appliance VMware Cloud Director come root direttamente o utilizzando un client SSH.
  2. Eseguire il backup dei file dei certificati esistenti.
    Opzione Descrizione
    Se l'ambiente è stato aggiornato da VMware Cloud Director 10.2.
    1. Prendere nota dei percorsi dei file di certificato http e consoleproxy esistenti da /opt/vmware/vcloud-director/etc/global.properties utilizzando le proprietà di user.http.pem, user.http.key, user.consoleproxy.pem e user.consoleproxy.key.
    2. Per eseguire il backup dei file di certificato esistenti, utilizzare i percorsi del passaggio 2a per eseguire i comandi seguenti.
      cp path_to_the_user.http.pem /opt/vmware/vcloud-director/etc/user.http.pem.original
      cp path_to_the_user.http.key /opt/vmware/vcloud-director/etc/user.http.key.original
    Se l'ambiente è stato aggiornato da VMware Cloud Director 10.3 o si tratta di una nuova distribuzione. Per eseguire il backup dei file di certificato esistenti, eseguire i comandi seguenti.
    cp /opt/vmware/vcloud-director/etc/user.http.pem /opt/vmware/vcloud-director/etc/user.http.pem.original
    cp /opt/vmware/vcloud-director/etc/user.http.key /opt/vmware/vcloud-director/etc/user.http.key.original
  3. Copiare e sostituire i file della chiave e del certificato che è necessario importare in /opt/vmware/vcloud-director/etc/user.http.pem e /opt/vmware/vcloud-director/etc/user.http.key.
  4. Se si dispone di certificati intermedi, eseguire il comando seguente per aggiungere il certificato root firmato dall'autorità di certificazione e qualsiasi certificato intermedio ai certificati HTTP.
    cat intermediate-certificate-file-1.cer intermediate-certificate-file-2.cerroot-CA-certificate.cer >> /opt/vmware/vcloud-director/etc/user.http.pem

    Dove intermediate-certificate-file-1.cer e intermediate-certificate-file-2.cer sono i nomi dei certificati intermedi e root-CA-certificate.cer è il nome del certificato root firmato dall'autorità di certificazione.

  5. Eseguire il comando per importare i certificati firmati nell'istanza di VMware Cloud Director.
    /opt/vmware/vcloud-director/bin/cell-management-tool certificates -j --cert /opt/vmware/vcloud-director/etc/user.http.pem --key /opt/vmware/vcloud-director/etc/user.http.key --key-password imported_key_password
  6. Per applicare i certificati firmati dall'autorità di certificazione, riavviare il servizio vmware-vcd nell'appliance di VMware Cloud Director.
    1. Eseguire il comando per arrestare il servizio.
      /opt/vmware/vcloud-director/bin/cell-management-tool cell -i $(service vmware-vcd pid cell) -s
    2. Eseguire il comando per avviare il servizio.
      systemctl start vmware-vcd

Operazioni successive