Utilizzare il comando generate-certs dello strumento di gestione delle celle per generare certificati SSL autofirmati per gli endpoint proxy della console e HTTP.

Ogni gruppo di server vCloud Director deve supportare due endpoint SSL, uno per il servizio HTTP e un altro per il servizio proxy della console. L'endpoint del servizio HTTP supporta la console Web di vCloud Director e l'API di vCoud. L'endpoint proxy della console remota supporta connessioni VMRC verso vApp e macchine virtuali.

Il comando generate-certs dello strumento di gestione delle celle automatizza la procedura Creazione di un certificato SSL autofirmato riportata nella vCloud Director.

Per generare nuovi certificati SSL autofirmati e aggiungerli a un archivio chiavi nuovo o già esistente, usare una riga di comando con la seguente struttura:
cell-management-toolgenerate-certsoptions
Tabella 1. Opzioni e argomenti dello strumento di gestione delle celle, sottocomando generate-certs
Opzione Argomento Descrizione
--help (-h) Nessuno Fornisce un riepilogo dei comandi disponibili in questa categoria.
--expiration (-x) days-until-expiration Il numero di giorni alla scadenza del certificato. Impostazione predefinita: 365.
--issuer (-i) name=value [, name=value, ...] X.509 nome distinto dell'autorità emittente del certificato. Impostazione predefinita: CN=FQDN. dove FQDN è il nome di dominio completo della cella o il suo indirizzo IP, se non è disponibile alcun nome di dominio completo. Se si specificano più coppie di attributi e valori, separarle con virgole e racchiudere l'intero argomento tra virgolette.
--httpcert (-j) Nessuno Generare un certificato per l'endpoint http.
--key-size (-s) key-size Le dimensioni della coppia di chiavi espresse come numero intero di bit. Impostazione predefinita: 2048. Nota: le dimensioni delle chiavi inferiori a 1024 non sono più supportate, come riportato nella Pubblicazione speciale 800-131A del NIST.
--keystore-pwd (-w) keystore-password La password dell'archivio chiavi sull'host.
--out (-o) keystore-pathname Il percorso completo dell'archivio chiavi sull'host.
--consoleproxycert (-p) Nessuno Generare un certificato per l'endpoint proxy della console.
Nota: Per mantenere la compatibilità con le versioni precedenti di questo sottocomando, se si omette sia -j che -p, equivale a fornire -j e -p.

Creazione di certificati autofirmati

In entrambi gli esempi si pressuppone l'esistenza di un archivio chiavi in /tmp/cell.ks con la password kspw. L'archivio chiavi viene creato qualora non fosse già presente.

Nel presente esempio vengono creati nuovi certificati usando le impostazioni predefinite. Il nome dell'autorità emittente è impostato su CN=Unknown. Il certificato utilizza una lunghezza chiave a 2048 bit predefinita, che scade un anno dopo la sua creazione.
[root@cell1 /opt/vmware/vcloud-director/bin]# ./cell-management-tool generate-certs -j -p -o /tmp/cell.ks -w kspw
New keystore created and written to /tmp/cell.ks.
In questo esempio viene creato un nuovo certificato solo per l'endpoint http. Inoltre, specifica i valori personalizzati per la dimensione della chiave e il nome dell'autorità emittente. Il nome dell'autorità emittente è impostato su CN=Test, L=London, C=GB. Il nuovo certificato per la connessione http ha una chiave a 4096 bit, che scade 90 giorni dopo la sua creazione. Il certificato esistente per l'endpoint proxy della console rimane inalterato.
[root@cell1 /opt/vmware/vcloud-director/bin]# ./cell-management-tool generate-certs -j -o /tmp/cell.ks -w kspw -i "CN=Test, L=London, C=GB" -s 4096 -x 90
New keystore created and written to /tmp/cell.ks.
Importante: Il file di archivio chiavi e la directory in cui è memorizzato devono essere leggibili dall'utente vcloud.vcloud. Il software di installazione vCloud Director crea questo utente e gruppo.