HTTPS 끝점에 대해 자체 서명된 인증서 생성

셀 관리 도구의 generate-certs 명령을 사용하여 HTTPS 끝점에 대한 자체 서명된 SSL 인증서를 생성합니다.

각 VMware Cloud Director 서버 그룹은 HTTPS 서비스에 대한 끝점을 지원해야 합니다. VMware Cloud Director 10.4부터는 콘솔 프록시 트래픽 및 HTTPS 통신에 기본 443 포트를 사용합니다. HTTPS 서비스 끝점은 VMware Cloud Director Service Provider Admin Portal, VMware Cloud Director Tenant Portal, VMware Cloud Director API 그리고 vApp 및 VM에 대한 VMRC 연결과 관련된 콘솔 프록시 트래픽을 지원합니다.

참고: VMware Cloud Director 10.4.1 이상은 콘솔 프록시 기능의 레거시 구현을 지원하지 않습니다.

VMware Cloud Director 10.4의 경우 전용 콘솔 프록시 Access Point에 레거시 구현을 사용하려는 경우 Service Provider Admin Portal의 관리 탭에 있는 [기능 플래그] 설정 메뉴에서 LegacyConsoleProxy 기능을 사용하도록 설정할 수 있습니다. LegacyConsoleProxy 기능을 사용하도록 설정하려면 설치 또는 배포에 이전 버전에서 구성되고 VMware Cloud Director 업그레이드를 통해 전송된 콘솔 프록시 설정이 있어야 합니다. 기능을 사용하도록 설정하거나 비활성화한 후에는 셀을 다시 시작해야 합니다. 레거시 콘솔 프록시 구현을 사용하도록 설정하는 경우 콘솔 프록시에 별도의 인증서가 있어야 합니다. 이 문서의 VMware Cloud Director 10.3 버전을 참조하십시오.

셀 관리 도구의 generate-certs 명령은 Linux에 VMware Cloud Director에 대한 자체 서명된 SSL 인증서 생성 절차를 자동화합니다.

자체 서명된 새 SSL 인증서를 생성하려면 다음과 같은 형식의 명령줄을 사용합니다.

cell-management-tool generate-certs options

표 1. 셀 관리 도구 옵션과 인수, generate-certs 하위 명령
옵션	인수	설명
--help (-h)	없음	이 범주에서 사용할 수 있는 명령에 대한 요약을 보여 줍니다.
--expiration (-x)	`days-until-expiration`	인증서 만료일까지 남은 일 수이며, 기본값은 365입니다.
--issuer (-i)	`name`=`value` [, `name`=`value`, ...]	인증서 발급자의 X.509 고유 이름입니다. 기본값은 `CN=FQDN`입니다. 여기서 `FQDN`은 셀의 정규화된 도메인 이름이거나, 정규화된 도메인 이름이 제공되지 않은 경우 셀의 IP 주소입니다. 여러 특성 및 값 쌍을 지정한 경우 쉼표로 구분하고 전체 인수를 따옴표로 묶으십시오.
--key-size (-s)	`key-size`	비트 단위의 정수로 표현되는 키 쌍의 크기입니다. 기본값은 2048입니다. 1,024보다 작은 키 크기는 NIST Special Publication 800-131A에 따라 더 이상 지원되지 않습니다.
--key-password	`key-password`	생성된 개인 키의 암호입니다.
--cert	`cert`	생성된 PEM 인코딩 X.509 인증서 파일의 경로입니다.
--key	key	생성된 PEM 인코딩 PKCS #8 개인 키 파일의 경로입니다.

자체 서명된 인증서 만들기

이러한 두 예에서는 /tmp/cell.pem에 있는 인증서 파일과 암호가 kpw인 /tmp/cell.key에 있는 해당 개인 키 파일을 가정합니다. 이러한 파일은 아직 없는 경우 생성됩니다.

이 예에서는 기본값을 사용하여 새 인증서를 만듭니다. 발급자 이름은 CN=Unknown로 설정되어 있습니다. 인증서는 기본 2048비트 키 길이를 사용하고, 만든 지 1년 후에 만료됩니다.

[root@cell1 /opt/vmware/vcloud-director/bin]# ./cell-management-tool generate-certs --cert /tmp/cell.pem --key /tmp/cell.key --key-password kpw
New certificate created and written to /tmp/cell.pem
New private key created and written to /tmp/cell.key

이 예에서는 키 크기 및 발급자 이름에 대한 사용자 지정 값을 지정합니다. 발급자 이름은 CN=Test, L=London, C=GB로 설정되어 있습니다. HTTPS 연결의 새 인증서는 4096비트 키를 보유하고, 만든 날짜로부터 90일 후에 만료됩니다.

[root@cell1 /opt/vmware/vcloud-director/bin]# ./cell-management-tool generate-certs --cert /tmp/cell.pem --key /tmp/cell.key --key-password kpw -i "CN=Test, L=London, C=GB" -s 4096 -x 90
New certificate created and written to /tmp/cell.pem
New private key created and written to /tmp/cell.key

중요: 인증서 및 개인 키 파일과 이 파일이 저장된 디렉터리를 vcloud.vcloud 사용자가 읽을 수 있어야 합니다. VMware Cloud Director 설치 관리자가 이 사용자와 그룹을 만듭니다.