CA 서명된 SSL 인증서를 생성하고 VMware Cloud Director 장치로 가져오기

CA(인증 기관)에서 서명한 인증서를 생성하고 가져오면 SSL 통신에 대해 최고 수준의 신뢰를 제공하고 클라우드 내의 연결을 보호할 수 있습니다.

각 VMware Cloud Director 서버는 HTTPS용과 콘솔 프록시 통신용으로 서로 다른 두 가지 SSL 끝점을 지원해야 합니다.

VMware Cloud Director 장치에서 이러한 두 끝점은 동일한 IP 주소 또는 호스트 이름을 공유하지만 포트는 두 개의 고유한 포트, 즉 HTTPS에는 443, 콘솔 프록시 통신에는 8443을 사용합니다. 예를 들어 와일드카드 인증서를 사용하여 두 끝점에 동일한 인증서를 사용할 수 있습니다.

두 끝점 모두의 인증서에는 X.500 고유 이름과 X.509 주체 대체 이름 확장이 포함되어야 합니다.

자체 개인 키와 CA 서명 인증서 파일이 이미 있는 경우 개인 키 및 CA 서명된 SSL 인증서를 VMware Cloud Director 장치로 가져오기에 설명된 절차를 따르십시오.

중요: 배포 시 VMware Cloud Director 장치는 키 크기가 2048비트인 자체 서명된 인증서를 생성합니다. 적절한 키 크기를 선택하기 전에 설치의 보안 요구 사항을 평가해야 합니다. 1,024비트보다 작은 키 크기는 NIST Special Publication 800-131A에 따라 더 이상 지원되지 않습니다.

이 절차에서 사용되는 개인 키 암호는 root 사용자 암호이고 이것은 root_password로 표시됩니다.

프로시저

VMware Cloud Director 장치 콘솔에 root로 직접 로그인하거나 SSH 클라이언트를 사용하여 로그인합니다.
환경 요구 사항에 따라 다음 옵션 중 하나를 선택합니다.
VMware Cloud Director 장치를 배포하면 VMware Cloud Director가 HTTPS 서비스 및 콘솔 프록시 서비스에 대해 키 크기가 2048비트인 자체 서명된 인증서를 자동으로 생성합니다.
- CA(인증 기관)를 통해 배포 시 생성된 인증서에 서명하려면 단계 5로 건너뜁니다.
- 더 큰 키 크기와 같이 사용자 지정 옵션이 포함된 새 인증서를 생성하려면 단계 3를 계속합니다.

명령을 실행하여 기존 인증서 파일을 백업합니다.

cp /opt/vmware/vcloud-director/etc/user.http.pem /opt/vmware/vcloud-director/etc/user.http.pem.original
cp /opt/vmware/vcloud-director/etc/user.http.key /opt/vmware/vcloud-director/etc/user.http.key.original
cp /opt/vmware/vcloud-director/etc/user.consoleproxy.pem /opt/vmware/vcloud-director/etc/user.consoleproxy.pem.original
cp /opt/vmware/vcloud-director/etc/user.consoleproxy.key /opt/vmware/vcloud-director/etc/user.consoleproxy.key.original

다음 명령을 실행하여 HTTPS 서비스 및 콘솔 프록시 서비스에 대한 공용 키 및 개인 키 쌍을 생성합니다.
```
/opt/vmware/vcloud-director/bin/cell-management-tool generate-certs --cert /opt/vmware/vcloud-director/etc/user.http.pem --key /opt/vmware/vcloud-director/etc/user.http.key --key-password root-password
/opt/vmware/vcloud-director/bin/cell-management-tool generate-certs --cert /opt/vmware/vcloud-director/etc/user.consoleproxy.pem --key /opt/vmware/vcloud-director/etc/user.consoleproxy.key --key-password root-password
```
이 명령은 기본값을 사용하여 인증서 파일을 생성하거나 덮어쓰고, 지정된 암호로 개인 키 파일을 생성하거나 덮어씁니다. 환경의 DNS 구성에 따라 발급자 CN(일반 이름)은 각 서비스의 IP 주소 또는 FQDN으로 설정됩니다. 인증서는 기본 2048비트 키 길이를 사용하고, 만든 지 1년 후에 만료됩니다.

중요: VMware Cloud Director 장치의 구성 제한으로 인해 HTTPS 인증서 파일에는 /opt/vmware/vcloud-director/etc/user.http.pem 및 /opt/vmware/vcloud-director/etc/user.http.key, 콘솔 프록시 인증서 파일에는 /opt/vmware/vcloud-director/etc/user.consoleproxy.pem 및 /opt/vmware/vcloud-director/etc/user.consoleproxy.key 위치를 사용해야 합니다.

참고: 장치 루트 암호를 키 암호로 사용합니다.
HTTPS 서비스 및 콘솔 프록시 서비스에 대한 CSR(인증서 서명 요청)을 생성합니다.

중요: VMware Cloud Director 장치는 HTTPS 서비스와 콘솔 프록시 서비스 모두에 대해 동일한 IP 주소 및 호스트 이름을 공유합니다. 따라서 CSR 생성 명령은 SAN(주체 대체 이름) 확장 인수에 대해 동일한 DNS 및 IP를 포함해야 합니다.
1. 인증서 서명 요청을 http.csr 파일에 만듭니다.
```
openssl req -new -key /opt/vmware/vcloud-director/etc/user.http.key -reqexts SAN -config <(cat /etc/ssl/openssl.cnf <(printf "\n[SAN]\nsubjectAltName=DNS:vcd2.example.com,DNS:vcd2,IP:10.100.101.10\n")) -out http.csr
```
2. 인증서 서명 요청을 consoleproxy.csr 파일에 만듭니다.
```
openssl req -new -key /opt/vmware/vcloud-director/etc/user.consoleproxy.key -reqexts SAN -config <(cat /etc/ssl/openssl.cnf <(printf "\n[SAN]\nsubjectAltName=DNS:vcd2.example.com,DNS:vcd2,IP:10.100.101.10\n")) -out consoleproxy.csr
```
인증서 서명 요청을 인증 기관에 보냅니다.
인증 기관이 웹 서버 유형을 지정하도록 요구하는 경우 Jakarta Tomcat을 사용합니다.

CA 서명된 인증서를 가져옵니다.
CA 서명된 인증서, CA 루트 인증서 및 중간 인증서를 VMware Cloud Director 장치에 복사하고 명령을 실행하여 기존 인증서를 덮어씁니다.
1. 명령을 실행하여 장치의 기존 user.http.pem 인증서를 CA 서명된 버전으로 덮어씁니다.
```
cp ca-signed-http.pem /opt/vmware/vcloud-director/etc/user.http.pem
```
2. 명령을 실행하여 장치의 기존 user.consoleproxy.pem을 CA 서명된 버전으로 덮어씁니다.
```
cp ca-signed-consoleproxy.pem /opt/vmware/vcloud-director/etc/user.consoleproxy.pem
```

명령을 실행하여 루트 CA 서명 인증서와 모든 중간 인증서를 HTTP 및 콘솔 프록시 인증서에 추가합니다.

cat intermediate-certificate-file-1.cer intermediate-certificate-file-2.cer root-CA-certificate.cer >> /opt/vmware/vcloud-director/etc/user.http.pem
cat intermediate-certificate-file-1.cer intermediate-certificate-file-2.cer root-CA-certificate.cer >> /opt/vmware/vcloud-director/etc/user.consoleproxy.pem

명령을 실행하여 인증서를 VMware Cloud Director 인스턴스로 가져옵니다.

/opt/vmware/vcloud-director/bin/cell-management-tool certificates -j --cert /opt/vmware/vcloud-director/etc/user.http.pem --key /opt/vmware/vcloud-director/etc/user.http.key --key-password root_password
/opt/vmware/vcloud-director/bin/cell-management-tool certificates -p --cert /opt/vmware/vcloud-director/etc/user.consoleproxy.pem --key /opt/vmware/vcloud-director/etc/user.consoleproxy.key --key-password root_password

서명된 새 인증서를 적용하려면 VMware Cloud Director 장치에서 vmware-vcd 서비스를 다시 시작합니다.
1. 다음 명령을 실행하여 서비스를 중지합니다.
```
/opt/vmware/vcloud-director/bin/cell-management-tool cell -i $(service vmware-vcd pid cell) -s
```
2. 다음 명령을 실행하여 서비스를 시작합니다.
```
systemctl start vmware-vcd
```

다음에 수행할 작업

와일드카드 인증서를 사용 중인 경우에는 HTTPS 및 콘솔 프록시 통신을 위해 서명된 와일드카드 인증서를 사용하여 VMware Cloud Director 장치 배포의 내용을 참조하십시오.
와일드카드 인증서를 사용 중이 아니라면 서버 그룹의 모든 VMware Cloud Director 서버에 대해 이 절차를 반복합니다.
내장형 PostgreSQL 데이터베이스 및 VMware Cloud Director 장치 관리 사용자 인터페이스의 인증서 교체에 대한 자세한 내용은 자체 서명된 내장형 PostgreSQL 및 VMware Cloud Director 장치 관리 UI 인증서 교체 항목을 참조하십시오.