I certificati autofirmati possono semplificare la configurazione di SSL per VMware Cloud Director negli ambienti in cui l'attendibilità è un problema marginale.

A partire da VMware Cloud Director 10.4, sia il traffico proxy della console sia le comunicazioni HTTPS passano attraverso la porta 443 predefinita. Non è necessario un certificato separato per il proxy della console.

Nota: VMware Cloud Director 10.4.1 e versioni successive non supportano l'implementazione legacy della funzionalità proxy della console.

È possibile utilizzare cell-management-tool per creare certificati SSL autofirmati. L'utilità cell-management-tool viene installata nella cella prima dell'esecuzione dell'agente di configurazione e dopo aver eseguito il file di installazione. Vedere Installazione di VMware Cloud Director nel primo membro di un gruppo di server.

Importante: In questo esempio, sono specificate le dimensioni chiave a 2084 bit, ma è opportuno valutare i requisiti di sicurezza dell'installazione, prima di scegliere le dimensioni chiave corrette. Le dimensioni chiave inferiori a 1024 bit non sono più supportate, come riportato nella Pubblicazione speciale 800-131A del NIST.

Procedura

  1. Accedere direttamente o tramite un client SSH al sistema operativo del server VMware Cloud Director come root.
  2. Creare una coppia di chiavi pubblica e privata. 
    /opt/vmware/vcloud-director/bin/cell-management-tool generate-certs --cert cert.pem --key cert.key --key-password passwd

    Il comando crea il certificato cert.pem con la chiave privata cert.key e la password passwd. cell-management-tool crea i certificati utilizzando i valori predefiniti del comando. In base alla configurazione DNS dell'ambiente, il nome comune dell'autorità emittente è impostato sull'indirizzo IP o sul nome di dominio completo per ciascun servizio. Il certificato utilizza una lunghezza chiave a 2048 bit predefinita, che scade un anno dopo la sua creazione.

    Importante: Il file di certificato, il file di chiave privata e la directory in cui sono archiviati devono essere leggibili dall'utente vcloud.vcloud. Il software di installazione VMware Cloud Director crea questo utente e gruppo.

Operazioni successive

Prendere nota dei nomi dei percorsi del certificato e della chiave privata. Quando si esegue lo script di configurazione per creare le connessioni di rete e del database per la cella di VMware Cloud Director, sono necessari questi nomi di percorso. Vedere Configurazione delle connessioni di rete e database di VMware Cloud Director.