建立與匯入 CA 簽署的憑證為 SSL 通訊提供了最高層級的信任,並有助於保護雲端基礎結構內的連線安全。
每個 VMware Cloud Director 伺服器必須支援兩個不同的 SSL 端點,分別用於 HTTPS 和主控台 Proxy 通訊。
重要: 如果您要針對 HTTPS 服務和主控台 Proxy 服務使用不同的 IP 位址,則必須對 HTTPS 服務的 IP 位址完成此程序一次,然後再對主控台 Proxy 服務的 IP 位址完成一次。
這兩個端點可以是不同的 IP 位址,也可以是包含兩個不同連接埠的單一 IP 位址。您可以針對兩個端點使用相同的憑證,例如,使用萬用字元憑證。
兩個端點的憑證皆必須包含 X.500 辨別名稱和 X.509 主體別名延伸。
您可以使用由信任憑證授權機構 (CA) 簽署的憑證或是自我簽署憑證。
您可以使用 cell-management-tool
建立自我簽署的 SSL 憑證。在執行組態代理程式之前及執行安裝檔案之後,cell-management-tool
公用程式會安裝在儲存格上。請參閱在伺服器群組的第一個成員上安裝 VMware Cloud Director 軟體。
重要: 這些範例指定 2048 位元的金鑰大小,但是您應當先評估安裝的安全需求,然後再選擇適當的金鑰大小。根據 NIST 特刊 800-131A,小於 1024 位元的金鑰大小不再受到支援。
必要條件
- 下載並安裝 OpenSSL。
- 如需有關
generate-certs
命令之可用選項的更多詳細資料,請參閱〈為 HTTPS 和主控台 Proxy 端點產生自我簽署憑證〉。 - 如需有關
certificates
命令之可用選項的更多詳細資料,請參閱取代 HTTPS 和主控台 Proxy 端點的憑證。
程序
下一步
- 如果您尚未設定 VMware Cloud Director 執行個體,請執行 configure 指令碼,將憑證匯入至 VMware Cloud Director。請參閱設定網路與資料庫連線。
備註: 如果建立 cert.pem 或 cert.key 憑證檔案時使用的是電腦,而不是您產生完整網域名稱及其相關 IP 位址清單所在的伺服器,請立即將 cert.pem 和 cert.key 檔案複製到該伺服器。執行組態指令碼時,您需要提供憑證和私密金鑰路徑名稱。
- 如果您已安裝並設定 VMware Cloud Director 執行個體,請使用儲存格管理工具的 certificates 命令匯入憑證。請參閱取代 HTTPS 和主控台 Proxy 端點的憑證。