VMware Cloud Foundation supporta l'installazione di certificati di terze parti in due modi. Questa procedura descrive il metodo legacy di utilizzo di un bundle di certificati. Per utilizzare il metodo legacy è necessario modificare le preferenze e quindi utilizzare questa procedura per generare richieste CSR, firmare le richieste CSR con un'autorità di certificazione di terze parti e infine caricare e installare i certificati.

Prerequisiti

VMware Cloud Foundation 4.5.1 include un nuovo metodo per l'installazione dei certificati firmati da un'autorità di certificazione di terze parti. Per impostazione predefinita, VMware Cloud Foundation utilizza il nuovo metodo. Vedere Installazione di certificati firmati da un'autorità di certificazione di terze parti utilizzando i file dell'autorità di certificazione e del certificato del server per informazioni sull'utilizzo del nuovo metodo. Se si preferisce utilizzare il metodo legacy, è necessario modificare le preferenze.
  1. Nella Interfaccia utente di SDDC Manager, fare clic sull'utente connesso e selezionare Preferenze.
    Immagine che mostra la posizione del menu Preferenze.
  2. Utilizzare l'interruttore per passare alla gestione dei certificati legacy.
    Schermata dell'interruttore utilizzato per passare alla gestione dei certificati legacy.

Il caricamento di certificati firmati da un'autorità di certificazione di terze parti utilizzando il metodo legacy richiede la raccolta dei file di certificato pertinenti nel formato corretto e quindi la creazione di un singolo file .tar.gz con il contenuto. È importante creare la struttura di directory corretta all'interno del file .tar.gz come indicato di seguito:

  • Il nome della directory di primo livello deve corrispondere esattamente al nome del dominio del carico di lavoro visualizzato nell'elenco in Inventario > Domini carico di lavoro. Ad esempio, sfo-m01.

    • Il file della catena di certificati dell'autorità di certificazione root con codifica PEM (deve essere denominato rootca.crt) deve trovarsi in questa directory di primo livello. Il file della catena di certificati rootca.crt contiene un'autorità di certificazione root e può avere un numero n di certificati intermedi.

      Ad esempio:
      -----BEGIN CERTIFICATE-----
<Intermediate1 certificate content>
-----END CERTIFICATE------
-----BEGIN CERTIFICATE-----
<Intermediate2 certificate content>
-----END CERTIFICATE------
-----BEGIN CERTIFICATE-----
<Root certificate content>
-----END CERTIFICATE-----

      Nell'esempio precedente sono presenti due certificati intermedi, intermediate1 e intermediate2, e un certificato root. Intermediate1 deve utilizzare il certificato emesso da intermediate2 e intermediate2 deve utilizzare il certificato emesso dall'autorità di certificazione root.

    • Il file della catena di certificati dell'autorità di certificazione root, i certificati intermedi e il certificato root devono contenere il campo Basic Constraints con il valore CA:TRUE.

    • Questa directory deve contenere una directory secondaria per ogni risorsa componente di cui si desidera sostituire i certificati.

  • Ogni directory secondaria deve corrispondere esattamente al nome host della risorsa di un componente corrispondente visualizzato nella colonna Nome host risorsa della scheda Inventario > Domini carico di lavoro > Certificati.

    Ad esempio nsxManager.vrack.vsphere.local, vcenter-1.vrack.vsphere.local e così via.

    • Ogni directory secondaria deve contenere il file .csr corrispondente, il cui nome deve corrispondere esattamente a quello della risorsa visualizzato nella colonna Nome host risorsa della scheda Inventario > Domini carico di lavoro > Certificati.

    • Ogni directory secondaria deve contenere un file .crt corrispondente, il cui nome deve corrispondere esattamente a quello della risorsa visualizzato nella colonna Nome host risorsa nella scheda Inventario > Dominio carico di lavoro > Certificati. Il contenuto dei file .crt deve terminare con un carattere di nuova riga.

      Ad esempio, la directory secondaria nsxManager.vrack.vsphere.local conterrà il file nsxManager.vrack.vsphere.local.local.crt.

  • Tutti i certificati, inclusi rootca.crt, devono avere il formato di file UNIX.
  • Requisiti aggiuntivi per i certificati di NSX:
    • Il certificato del server (NSX_FQDN.crt) deve contenere il campo Basic Constraints con il valore CA:FALSE.
    • Se il certificato NSX contiene un punto di distribuzione CRL basato su HTTP o HTTPS, deve essere raggiungibile dal server.
    • L'utilizzo della chiave estesa (EKU) del certificato generato deve contenere l'EKU della richiesta CSR generata.
Nota:

Tutti i valori delle risorse e dei nomi host sono disponibili nell'elenco della scheda Inventario > Domini carico di lavoro > Certificati.

Procedura

  1. Nel riquadro di navigazione, fare clic su Inventario > Domini carico di lavoro.
  2. Nella colonna dei domini della tabella della pagina Domini carico di lavoro, fare clic sul dominio del carico di lavoro che si desidera visualizzare.
  3. Nella pagina di riepilogo del dominio, fare clic sulla scheda Certificati.
  4. Generare i file CSR per i componenti di destinazione.
    1. Nella tabella, selezionare la casella di controllo relativa al tipo di risorsa per cui si desidera generare una richiesta CSR.
    2. Fare clic su Genera CSR.
      Viene aperta la procedura guidata Genera CSR.
    3. Nella finestra di dialogo Dettagli, configurare le impostazioni e fare clic su Avanti.

      Opzione

      Descrizione

      Algoritmo

      Selezionare l'algoritmo della chiave per il certificato.

      Dimensioni chiave

      Selezionare le dimensioni della chiave (2048 bit, 3072 bit o 4096 bit) dal menu a discesa.

      Indirizzo e-mail

      Facoltativamente immettere un indirizzo e-mail di contatto.

      Unità organizzativa

      Utilizzare questo campo per distinguere i reparti dell'organizzazione a cui questo certificato è associato.

      Nome organizzazione

      Digitare il nome con cui è nota l'azienda. L'organizzazione elencata deve essere l'azienda che registra il nome di dominio nella richiesta del certificato.

      Località

      Digitare la città o l'area geografica in cui l'azienda è legalmente registrata.

      Stato

      Digitare il nome completo (senza abbreviazioni) dello stato, della provincia o dell'area geografica in cui l'azienda è legalmente registrata.

      Paese

      Digitare il nome del paese in cui l'azienda è legalmente registrata. Per questo valore è necessario utilizzare il codice del paese ISO 3166.
    4. (Facoltativo) Nella finestra di dialogo Nome alternativo soggetto, immettere il nome alternativo del soggetto e fare clic su Avanti.
      È possibile immettere più valori separati da virgola (,), punto e virgola (;) o spazio ( ). Per NSX è possibile immettere il nome alternativo del soggetto per ogni nodo insieme al nodo IP virtuale (primario).
      Nota: Non è consigliabile utilizzare un nome alternativo del soggetto con caratteri jolly, come *.example.com.
    5. Nella finestra di dialogo Riepilogo, fare clic su Genera CSR.
  5. Scaricare e salvare i file CSR nella directory facendo clic su Scarica CSR.
  6. Completare le attività seguenti all'esterno di Interfaccia utente di SDDC Manager:
    1. Verificare che i diversi file .csr siano stati generati correttamente e siano allocati nella struttura di directory richiesta.
    2. Richiedere certificati firmati a un'autorità di certificazione di terze parti per ogni file .csr.
    3. Verificare che i file .crt appena acquisiti siano denominati correttamente e allocati nella struttura di directory richiesta.
    4. Creare un nuovo file .tar.gz della struttura di directory pronto per il caricamento in SDDC Manager. Ad esempio: <nome dominio>.tar.gz.
  7. Fare clic su Carica e installa.
  8. Nella finestra di dialogo Carica e installa certificati, fare clic su Sfoglia per individuare e selezionare il file <nome dominio>tar.gz appena creato e fare clic su Apri.
  9. Fare clic su Carica.
  10. Se il caricamento riesce, fare clic su Installa il certificato. Nella scheda Sicurezza viene visualizzato lo stato di installazione del certificato in corso.