HTTPS 통신을 위해 서명된 와일드카드 인증서를 사용하여 VMware Cloud Director 장치 10.4 배포

서명된 와일드카드 인증서를 사용하여 VMware Cloud Director 장치를 배포할 수 있습니다. 이러한 인증서를 사용하여 인증서에 나열된 도메인 이름의 하위 도메인인 서버를 수 제한 없이 보호할 수 있습니다. 버전 10.4의 절차에는 콘솔 프록시 설정이 포함됩니다.

VMware Cloud Director 장치 10.4.1 이상을 배포하려면 HTTPS 통신을 위해 서명된 와일드카드 인증서를 사용하여 VMware Cloud Director 장치 10.4.1 이상 배포 항목을 참조하십시오.

기본적으로 VMware Cloud Director 장치를 배포할 때 VMware Cloud Director는 자체 서명된 인증서를 생성하고 이를 사용하여 HTTPS 통신을 위한 VMware Cloud Director 셀을 구성합니다.

VMware Cloud Director 10.4부터는 콘솔 프록시 트래픽과 HTTPS 통신에 모두 기본 443 포트를 사용합니다. 콘솔 프록시에 대해 별도의 인증서가 필요하지 않습니다.

참고: VMware Cloud Director 10.4.1 이상은 콘솔 프록시 기능의 레거시 구현을 지원하지 않습니다.

기본 장치를 성공적으로 배포하면, 장치 구성 논리가 responses.properties 파일을 기본 장치에서 공통 NFS 공유 전송 서비스 스토리지(/opt/vmware/vcloud-director/data/transfer)로 복사합니다. 이 VMware Cloud Director 서버 그룹에 배포된 다른 장치는 이 파일을 사용하여 자동으로 구성됩니다. responses.properties 파일에는 SSL 인증서 및 개인 키에 대한 경로가 포함되어 있습니다. 여기에는 자동 생성된 자체 서명 인증서 user.certificate.path, 개인 키 user.key.path, 콘솔 프록시 인증서 user.consoleproxy.certificate.path 및 콘솔 프록시 개인 키 user.consoleproxy.key.path가 포함됩니다. 기본적으로 이러한 경로는 각 장치에 로컬인 PEM 파일에 대한 경로입니다.

참고: 인증서에 사용하는 키 암호는 모든 장치를 배포할 때 사용되는 초기 root 암호와 일치해야 합니다.

기본 장치를 배포한 후에 서명된 인증서를 사용하도록 다시 구성할 수 있습니다. 서명된 인증서를 생성하는 방법에 대한 자세한 내용은 VMware Cloud Director 장치 10.4.1 이상에 대한 CA 서명 SSL 인증서 생성 및 가져오기 항목을 참조하십시오.

기본 VMware Cloud Director 장치에서 사용하는 서명된 인증서가 와일드카드 서명된 인증서인 경우 해당 인증서를 VMware Cloud Director 서버 그룹의 다른 모든 장치(예: 대기 셀 및 VMware Cloud Director 애플리케이션 셀)에 적용할 수 있습니다. HTTPS 및 콘솔 프록시 통신을 위해 서명된 와일드카드 인증서를 통한 장치 배포를 사용하면 서명된 와일드카드 SSL 인증서로 추가 셀을 구성할 수 있습니다.

사전 요구 사항

이 절차가 환경 요구 사항에 적합한지 확인하려면 VMware Cloud Director 장치의 SSL 인증서 생성 및 관리 항목을 숙지하십시오.

프로시저

user.http.pem, user.http.key, user.consoleproxy.pem, user.consoleproxy.key 파일을 기본 장치에서 /opt/vmware/vcloud-director/data/transfer/의 전송 공유로 복사합니다.

인증서 파일에 대한 소유자 및 그룹 권한을 vcloud로 변경합니다.

chown vcloud.vcloud /opt/vmware/vcloud-director/data/transfer/user.http.pem
chown vcloud.vcloud /opt/vmware/vcloud-director/data/transfer/user.http.key
chown vcloud.vcloud /opt/vmware/vcloud-director/data/transfer/user.consoleproxy.pem
chown vcloud.vcloud /opt/vmware/vcloud-director/data/transfer/user.consoleproxy.key

인증서 파일의 소유자에게 읽기 및 쓰기 권한이 있는지 확인합니다.

chmod 0750 /opt/vmware/vcloud-director/data/transfer/user.http.pem
chmod 0750 /opt/vmware/vcloud-director/data/transfer/user.http.key
chmod 0750 /opt/vmware/vcloud-director/data/transfer/user.consoleproxy.pem
chmod 0750 /opt/vmware/vcloud-director/data/transfer/user.consoleproxy.key

기본 장치에서 명령을 실행하여 서명된 새 인증서를 VMware Cloud Director 인스턴스로 가져옵니다.

이러한 명령은 전송 공유의 responses.properties 파일도 업데이트하여 전송 공유의 인증서 파일을 가리키도록 user.certificate.path, user.key.path, user.consoleproxy.certificate.path, user.consoleproxy.key.path 변수를 수정합니다.

/opt/vmware/vcloud-director/bin/cell-management-tool certificates -j --cert /opt/vmware/vcloud-director/data/transfer/user.http.pem --key /opt/vmware/vcloud-director/data/transfer/user.http.key --key-password root-password
/opt/vmware/vcloud-director/bin/cell-management-tool certificates -p --cert /opt/vmware/vcloud-director/data/transfer/user.consoleproxy.pem --key /opt/vmware/vcloud-director/data/transfer/user.consoleproxy.key --key-password root-password

서명된 새 인증서를 적용하려면 기본 장치에서 vmware-vcd 서비스를 다시 시작합니다.
1. 다음 명령을 실행하여 서비스를 중지합니다.
```
/opt/vmware/vcloud-director/bin/cell-management-tool cell -i $(service vmware-vcd pid cell) -s
```
2. 다음 명령을 실행하여 서비스를 시작합니다.
```
systemctl start vmware-vcd
```
키 암호와 일치하는 초기 루트 암호를 사용하여 대기 셀 및 애플리케이션 셀 장치를 배포합니다.

결과

동일한 NFS 공유 전송 서비스 스토리지를 사용하는 새로 배포된 모든 장치는 기본 장치에서 사용하는 동일한 서명된 와일드카드 SSL 인증서로 구성됩니다.