VMware Cloud Director 장치에 대해 CA(인증 기관)에서 서명한 인증서를 생성하고 가져오면 SSL 통신에 대해 최고 수준의 신뢰를 제공하고 클라우드 내의 연결을 보호할 수 있습니다.

중요:

배포 시 VMware Cloud Director 장치는 키 크기가 2048비트인 자체 서명된 인증서를 생성합니다. 적절한 키 크기를 선택하기 전에 설치의 보안 요구 사항을 평가해야 합니다. 1,024비트보다 작은 키 크기는 NIST Special Publication 800-131A에 따라 더 이상 지원되지 않습니다.

이 절차에서 사용되는 개인 키 암호는 root 사용자 암호이고 이것은 root_password로 표시됩니다.

VMware Cloud Director 10.4부터는 콘솔 프록시 트래픽과 HTTPS 통신에 모두 기본 443 포트를 사용합니다.

참고: VMware Cloud Director 10.4.1 이상은 콘솔 프록시 기능의 레거시 구현을 지원하지 않습니다.

사전 요구 사항

이 절차가 환경 요구 사항에 적합한지 확인하려면 VMware Cloud Director 장치의 SSL 인증서 생성 및 관리 항목을 숙지하십시오.

프로시저

  1. VMware Cloud Director 장치 콘솔에 root로 직접 로그인하거나 SSH 클라이언트를 사용하여 로그인합니다.
  2. 환경 요구 사항에 따라 다음 옵션 중 하나를 선택합니다.
    VMware Cloud Director 장치를 배포하면 VMware Cloud Director가 HTTPS 서비스 및 콘솔 프록시 서비스에 대해 키 크기가 2048비트인 자체 서명된 인증서를 자동으로 생성합니다.
    • CA(인증 기관)를 통해 배포 시 생성된 인증서에 서명하려면 단계 5로 건너뜁니다.
    • 더 큰 키 크기와 같이 사용자 지정 옵션이 포함된 새 인증서를 생성하려면 단계 3를 계속합니다.
  3. 명령을 실행하여 기존 인증서 파일을 백업합니다. 
    cp /opt/vmware/vcloud-director/etc/user.http.pem /opt/vmware/vcloud-director/etc/user.http.pem.original
cp /opt/vmware/vcloud-director/etc/user.http.key /opt/vmware/vcloud-director/etc/user.http.key.original
  4. 다음 명령을 실행하여 HTTPS 서비스에 대한 공용 및 개인 키 쌍을 생성합니다. 
    /opt/vmware/vcloud-director/bin/cell-management-tool generate-certs --cert /opt/vmware/vcloud-director/etc/user.http.pem --key /opt/vmware/vcloud-director/etc/user.http.key --key-password root-password

    이 명령은 기본값을 사용하여 인증서 파일을 생성하거나 덮어쓰고, 지정된 암호로 개인 키 파일을 생성하거나 덮어씁니다. 환경의 DNS 구성에 따라 발급자 CN(일반 이름)은 각 서비스의 IP 주소 또는 FQDN으로 설정됩니다. 인증서는 기본 2048비트 키 길이를 사용하고, 만든 지 1년 후에 만료됩니다.

    중요: VMware Cloud Director 장치의 구성 제한으로 인해 /opt/vmware/vcloud-director/etc/user.http.pem/opt/vmware/vcloud-director/etc/user.http.key 위치를 HTTPS 인증서 파일에 사용해야 합니다.
    참고: 장치 루트 암호를 키 암호로 사용합니다.
  5. HTTPS 서비스에 대한 CSR(인증서 서명 요청)을 http.csr 파일에 생성합니다. 
    openssl req -new -key /opt/vmware/vcloud-director/etc/user.http.key -reqexts SAN -config <(cat /etc/ssl/openssl.cnf <(printf "\n[SAN]\nsubjectAltName=DNS:vcd2.example.com,DNS:vcd2,IP:10.100.101.10\n")) -out http.csr
  6. 인증서 서명 요청을 인증 기관에 보냅니다.
    인증 기관이 웹 서버 유형을 지정하도록 요구하는 경우 Jakarta Tomcat을 사용합니다.
    CA 서명된 인증서를 가져옵니다.
  7. CA 서명된 인증서, CA 루트 인증서 및 중간 인증서를 VMware Cloud Director 장치에 복사하고 명령을 실행하여 장치의 기존 user.http.pem 인증서를 CA 서명된 버전으로 덮어씁니다. 
    cp ca-signed-http.pem /opt/vmware/vcloud-director/etc/user.http.pem
  8. 루트 CA 서명 인증서와 중간 인증서를 HTTP 및 콘솔 프록시 인증서에 추가하려면 다음 명령을 실행합니다. 
    cat intermediate-certificate-file-1.cer intermediate-certificate-file-2.cer root-CA-certificate.cer >> /opt/vmware/vcloud-director/etc/user.http.pem
  9. 인증서를 VMware Cloud Director 인스턴스로 가져오려면 다음 명령을 실행합니다. 
    /opt/vmware/vcloud-director/bin/cell-management-tool certificates -j --cert /opt/vmware/vcloud-director/etc/user.http.pem --key /opt/vmware/vcloud-director/etc/user.http.key --key-password root_password
  10. 서명된 새 인증서를 적용하려면 VMware Cloud Director 장치에서 vmware-vcd 서비스를 다시 시작합니다.
    1. 다음 명령을 실행하여 서비스를 중지합니다. 
      /opt/vmware/vcloud-director/bin/cell-management-tool cell -i $(service vmware-vcd pid cell) -s
    2. 다음 명령을 실행하여 서비스를 시작합니다. 
      systemctl start vmware-vcd

다음에 수행할 작업