Utilizzare il comando generate-certs dello strumento di gestione delle celle di VMware Cloud Director per generare certificati SSL autofirmati per l'endpoint HTTPS.

Ogni gruppo di server di VMware Cloud Director deve supportare un endpoint per il servizio HTTPS. A partire da VMware Cloud Director 10.4, il traffico proxy della console e le comunicazioni HTTPS passano attraverso la porta 443 predefinita. L'endpoint del servizio HTTPS supporta il traffico dell'API di VMware Cloud Director Service Provider Admin Portal, VMware Cloud Director Tenant Portal, VMware Cloud Director e del proxy della console correlato alle connessioni VMRC alle vApp e alle macchine virtuali.

Nota: VMware Cloud Director 10.4.1 e versioni successive non supportano l'implementazione legacy della funzionalità proxy della console.

Il comando generate-certs dello strumento di gestione delle celle automatizza la procedura Creazione di certificati SSL autofirmati per VMware Cloud Director in Linux.

Per generare nuovi certificati SSL autofirmati, usare una riga di comando con la seguente struttura: 
cell-management-toolgenerate-certsoptions
Tabella 1. Opzioni e argomenti dello strumento di gestione delle celle, sottocomando generate-certs
Opzione Argomento Descrizione
--help (-h) Nessuno Fornisce un riepilogo dei comandi disponibili in questa categoria.
--expiration (-x) days-until-expiration Il numero di giorni alla scadenza del certificato. Impostazione predefinita: 365.
--issuer (-i) name=value [, name=value, ...] X.509 nome distinto dell'autorità emittente del certificato. Impostazione predefinita: CN=FQDN. dove FQDN è il nome di dominio completo della cella o il suo indirizzo IP, se non è disponibile alcun nome di dominio completo. Se si specificano più coppie di attributi e valori, separarle con virgole e racchiudere l'intero argomento tra virgolette.
--key-size (-s) key-size Le dimensioni della coppia di chiavi espresse come numero intero di bit. Impostazione predefinita: 2048. Le dimensioni chiave inferiori a 1024 bit non sono più supportate, come riportato nella Pubblicazione speciale 800-131A del NIST.
--key-password key-password Password della chiave privata generata.
--cert cert Percorso del file del certificato X.509 con codifica PEM generato.
--key key Percorso del file della chiave privata PKCS #8 con codifica PEM generato.

Creazione di certificati autofirmati

In entrambi gli esempi si suppone che sia presente un file di certificato in /tmp/cell.pem e un file di chiave privata corrispondente in /tmp/cell.key con password kpw. Questi file vengono creati se non esistono già.

Nel presente esempio vengono creati nuovi certificati usando le impostazioni predefinite. Il nome dell'autorità emittente è impostato su CN=Unknown. Il certificato utilizza una lunghezza chiave a 2048 bit predefinita, che scade un anno dopo la sua creazione. 
[root@cell1 /opt/vmware/vcloud-director/bin]# ./cell-management-tool generate-certs --cert /tmp/cell.pem --key /tmp/cell.key --key-password kpw
New certificate created and written to /tmp/cell.pem
New private key created and written to /tmp/cell.key
Questo esempio specifica i valori personalizzati per la dimensione della chiave e il nome dell'autorità emittente. Il nome dell'autorità emittente è impostato su CN=Test, L=London, C=GB. Il nuovo certificato per la connessione HTTPS ha una chiave a 4096 bit, che scade 90 giorni dopo la creazione. 
[root@cell1 /opt/vmware/vcloud-director/bin]# ./cell-management-tool generate-certs --cert /tmp/cell.pem --key /tmp/cell.key --key-password kpw -i "CN=Test, L=London, C=GB" -s 4096 -x 90
New certificate created and written to /tmp/cell.pem
New private key created and written to /tmp/cell.key
Importante: I file di certificato e di chiave privata e la directory in cui sono archiviati devono essere leggibili dall'utente vcloud.vcloud. Il software di installazione VMware Cloud Director crea questo utente e gruppo.