CA 서명된 인증서를 생성하고 가져오면 SSL 통신에 대해 최고 수준의 신뢰를 제공하고 클라우드 인프라 내의 연결을 보호할 수 있습니다.

VMware Cloud Director 10.4부터는 콘솔 프록시 트래픽과 HTTPS 통신에 모두 기본 443 포트를 사용합니다. 콘솔 프록시에 대해 별도의 인증서가 필요하지 않습니다.

참고: VMware Cloud Director 10.4.1 이상은 콘솔 프록시 기능의 레거시 구현을 지원하지 않습니다.

VMware Cloud Director 10.4의 경우 전용 콘솔 프록시 Access Point에 레거시 구현을 사용하려는 경우 Service Provider Admin Portal관리 탭에 있는 [기능 플래그] 설정 메뉴에서 LegacyConsoleProxy 기능을 사용하도록 설정할 수 있습니다. LegacyConsoleProxy 기능을 사용하도록 설정하려면 설치 또는 배포에 이전 버전에서 구성되고 VMware Cloud Director 업그레이드를 통해 전송된 콘솔 프록시 설정이 있어야 합니다. 기능을 사용하도록 설정하거나 비활성화한 후에는 셀을 다시 시작해야 합니다. 레거시 콘솔 프록시 구현을 사용하도록 설정하는 경우 콘솔 프록시에 별도의 인증서가 있어야 합니다. 이 문서의 VMware Cloud Director 10.3 버전을 참조하십시오.

HTTPS 끝점에 대한 인증서에는 X.500 고유 이름과 X.509 주체 대체 이름 확장이 포함되어야 합니다.

신뢰할 수 있는 CA(인증 기관)에서 서명한 인증서나 자체 서명된 인증서를 사용할 수 있습니다.

cell-management-tool을 사용하여 자체 서명된 SSL 인증서를 만듭니다. cell-management-tool 유틸리티는 구성 에이전트가 실행되기 전과 설치 파일을 실행한 후에 셀에 설치됩니다. 서버 그룹의 첫 번째 구성원에 VMware Cloud Director 설치의 내용을 참조하십시오.

중요: 이 예제에서는 2,048비트 키 크기를 지정하지만, 적절한 키 크기를 선택하려면 설치 환경의 보안 요구 사항을 평가해야 합니다. 1,024비트보다 작은 키 크기는 NIST Special Publication 800-131A에 따라 더 이상 지원되지 않습니다.

사전 요구 사항

프로시저

  1. VMware Cloud Director 서버 셀의 OS에 root로 직접 로그인하거나 SSH 클라이언트를 사용하여 로그인합니다.
  2. 환경 요구 사항에 따라 다음 옵션 중 하나를 선택합니다.
    • 자체 개인 키 및 CA 서명 인증서 파일이 있으면 6단계로 건너뜁니다.
    • 더 큰 키 크기와 같은 사용자 지정 옵션으로 새 인증서를 생성하려면 3단계를 계속합니다.
  3. HTTPS 서비스에 대한 공용 및 개인 키 쌍을 만들려면 다음 명령을 실행합니다. 
    /opt/vmware/vcloud-director/bin/cell-management-tool generate-certs --cert cert.pem --key cert.key --key-password key_password

    이 명령은 cert.pem의 인증서 파일과 cert.key의 개인 키 파일을 지정된 암호로 생성하거나 덮어씁니다. 인증서는 명령의 기본값을 사용하여 만들어집니다. 환경의 DNS 구성에 따라 발급자 CN은 각 서비스의 IP 주소 또는 FQDN으로 설정됩니다. 인증서는 기본 2048비트 키 길이를 사용하고, 만든 지 1년 후에 만료됩니다.

    중요: 인증서 파일, 개인 키 파일 및 이러한 파일이 저장된 디렉터리를 vcloud.vcloud 사용자가 읽을 수 있어야 합니다. VMware Cloud Director 및 해당 파일이 저장된 디렉토리를 vcloud.vcloud 사용자가 읽을 수 있어야 합니다. VMware Cloud Director 설치 관리자가 이 사용자와 그룹을 만듭니다.
  4. 인증서 서명 요청을 cert.csr 파일에 만듭니다. 
    openssl req -new -key cert.key -reqexts SAN -config <(cat /etc/ssl/openssl.cnf <(printf "\n[SAN]\nsubjectAltName=DNS:vcd2.example.com,DNS:vcd2,IP:10.100.101.10\n")) -out cert.csr
  5. 인증서 서명 요청을 인증 기관에 보냅니다.
    인증 기관이 웹 서버 유형을 지정하도록 요구하는 경우 Jakarta Tomcat을 사용합니다.
    CA 서명된 인증서를 가져옵니다.
  6. 명령을 실행하여 루트 CA 서명 인증서와 모든 중간 인증서를 2단계에서 생성한 인증서에 추가합니다. 
    cat intermediate-certificate-file-1.cer intermediate-certificate-file-2.cer root-CA-certificate.cer >> cert.pem
  7. 서버 그룹의 모든 VMware Cloud Director 서버에서 이 절차를 반복하십시오.

다음에 수행할 작업

  • VMware Cloud Director 인스턴스를 아직 구성하지 않은 경우 configure 스크립트를 실행하여 인증서를 VMware Cloud Director로 가져옵니다. 네트워크 및 데이터베이스 연결 구성의 내용을 참조하십시오.
    참고: FQDN(정규화된 도메인 이름) 및 연결된 IP 주소 목록을 생성한 서버가 아닌 다른 컴퓨터에 cert.pem 또는 cert.key 인증서 파일을 만든 경우에는 cert.pemcert.key 파일을 해당 서버에 지금 복사합니다. 구성 스크립트를 실행할 때 인증서 및 개인 키 경로 이름이 필요합니다.
  • VMware Cloud Director 인스턴스를 이미 설치하고 구성한 경우 셀 관리 도구의 certificates 명령을 사용하여 인증서를 가져옵니다. HTTPS 끝점에 대한 인증서 교체의 내용을 참조하십시오.