CA 서명된 인증서를 생성하고 가져오면 SSL 통신에 대해 최고 수준의 신뢰를 제공하고 클라우드 인프라 내의 연결을 보호할 수 있습니다.

VMware Cloud Director 서버는 HTTPS용과 콘솔 프록시 통신용으로 서로 다른 두 가지 SSL 끝점을 지원해야 합니다.

중요: HTTPS 서비스 및 콘솔 프록시 서비스에 대해 별도의 IP 주소를 사용하는 경우 HTTPS 서비스의 IP 주소에 대해 이 절차를 한 번 완료하고 콘솔 프록시 서비스의 IP 주소에 대해 다시 한 번 완료해야 합니다.

이 두 끝점은 별도의 IP 주소이거나 두 개의 서로 다른 포트를 사용하는 단일 IP 주소일 수 있습니다. 예를 들어 와일드카드 인증서를 사용하여 두 끝점에 동일한 인증서를 사용할 수 있습니다.

두 끝점 모두의 인증서에는 X.500 고유 이름과 X.509 주체 대체 이름 확장이 포함되어야 합니다.

신뢰할 수 있는 CA(인증 기관)에서 서명한 인증서나 자체 서명된 인증서를 사용할 수 있습니다.

cell-management-tool을 사용하여 자체 서명된 SSL 인증서를 만듭니다. cell-management-tool 유틸리티는 구성 에이전트가 실행되기 전과 설치 파일을 실행한 후에 셀에 설치됩니다. 서버 그룹의 첫 번째 구성원에 VMware Cloud Director 설치의 내용을 참조하십시오.

중요: 이 예제에서는 2,048비트 키 크기를 지정하지만, 적절한 키 크기를 선택하려면 설치 환경의 보안 요구 사항을 평가해야 합니다. 1,024비트보다 작은 키 크기는 NIST Special Publication 800-131A에 따라 더 이상 지원되지 않습니다.

사전 요구 사항

프로시저

  1. VMware Cloud Director 서버 셀의 OS에 root로 직접 로그인하거나 SSH 클라이언트를 사용하여 로그인합니다.
  2. 환경 요구 사항에 따라 다음 옵션 중 하나를 선택합니다.
    • 자체 개인 키 및 CA 서명 인증서 파일이 있으면 6단계로 건너뜁니다.
    • 더 큰 키 크기와 같은 사용자 지정 옵션으로 새 인증서를 생성하려면 3단계를 계속합니다.
  3. 명령을 실행하여 HTTPS 서비스 및 콘솔 프록시 서비스에 대한 공개 및 개인 키 쌍을 생성합니다.
    /opt/vmware/vcloud-director/bin/cell-management-tool generate-certs --cert cert.pem --key cert.key --key-password key_password

    이 명령은 cert.pem의 인증서 파일과 cert.key의 개인 키 파일을 지정된 암호로 생성하거나 덮어씁니다. 인증서는 명령의 기본값을 사용하여 만들어집니다. 환경의 DNS 구성에 따라 발급자 CN은 각 서비스의 IP 주소 또는 FQDN으로 설정됩니다. 인증서는 기본 2048비트 키 길이를 사용하고, 만든 지 1년 후에 만료됩니다.

    중요: 인증서 파일, 개인 키 파일 및 이러한 파일이 저장된 디렉터리를 vcloud.vcloud 사용자가 읽을 수 있어야 합니다. VMware Cloud Director 및 해당 파일이 저장된 디렉토리를 vcloud.vcloud 사용자가 읽을 수 있어야 합니다. VMware Cloud Director 설치 관리자가 이 사용자와 그룹을 만듭니다.
  4. 인증서 서명 요청을 cert.csr 파일에 만듭니다.
    openssl req -new -key cert.key -reqexts SAN -config <(cat /etc/ssl/openssl.cnf <(printf "\n[SAN]\nsubjectAltName=DNS:vcd2.example.com,DNS:vcd2,IP:10.100.101.10\n")) -out cert.csr
  5. 인증서 서명 요청을 인증 기관에 보냅니다.
    인증 기관이 웹 서버 유형을 지정하도록 요구하는 경우 Jakarta Tomcat을 사용합니다.
    CA 서명된 인증서를 가져옵니다.
  6. 명령을 실행하여 루트 CA 서명 인증서와 모든 중간 인증서를 2단계에서 생성한 인증서에 추가합니다.
    cat intermediate-certificate-file-1.cer intermediate-certificate-file-2.cer root-CA-certificate.cer >> cert.pem
  7. 서버 그룹의 모든 VMware Cloud Director 서버에서 이 절차를 반복하십시오.

다음에 수행할 작업

  • VMware Cloud Director 인스턴스를 아직 구성하지 않은 경우 configure 스크립트를 실행하여 인증서를 VMware Cloud Director로 가져옵니다. 네트워크 및 데이터베이스 연결 구성의 내용을 참조하십시오.
    참고: FQDN(정규화된 도메인 이름) 및 연결된 IP 주소 목록을 생성한 서버가 아닌 다른 컴퓨터에 cert.pem 또는 cert.key 인증서 파일을 만든 경우에는 cert.pemcert.key 파일을 해당 서버에 지금 복사합니다. 구성 스크립트를 실행할 때 인증서 및 개인 키 경로 이름이 필요합니다.
  • VMware Cloud Director 인스턴스를 이미 설치하고 구성한 경우 셀 관리 도구의 certificates 명령을 사용하여 인증서를 가져옵니다. HTTPS 및 콘솔 프록시 끝점에 대한 인증서 바꾸기의 내용을 참조하십시오.