建立與匯入 CA 簽署的憑證為 SSL 通訊提供了最高層級的信任,並有助於保護雲端基礎結構內的連線安全。

每個 VMware Cloud Director 伺服器必須支援兩個不同的 SSL 端點,分別用於 HTTPS 和主控台 Proxy 通訊。

重要: 如果您要針對 HTTPS 服務和主控台 Proxy 服務使用不同的 IP 位址,則必須對 HTTPS 服務的 IP 位址完成此程序一次,然後再對主控台 Proxy 服務的 IP 位址完成一次。

這兩個端點可以是不同的 IP 位址,也可以是包含兩個不同連接埠的單一 IP 位址。您可以針對兩個端點使用相同的憑證,例如,使用萬用字元憑證。

兩個端點的憑證皆必須包含 X.500 辨別名稱和 X.509 主體別名延伸。

您可以使用由信任憑證授權機構 (CA) 簽署的憑證或是自我簽署憑證。

您可以使用 cell-management-tool 建立自我簽署的 SSL 憑證。在執行組態代理程式之前及執行安裝檔案之後,cell-management-tool 公用程式會安裝在儲存格上。請參閱在伺服器群組的第一個成員上安裝 VMware Cloud Director 軟體

重要: 這些範例指定 2048 位元的金鑰大小,但是您應當先評估安裝的安全需求,然後再選擇適當的金鑰大小。根據 NIST 特刊 800-131A,小於 1024 位元的金鑰大小不再受到支援。

必要條件

程序

  1. root 身分直接登入或使用 SSH 用戶端登入 VMware Cloud Director 伺服器儲存格的作業系統。
  2. 視您的環境需求而定,請選擇下列其中一個選項。
    • 如果您擁有自己的私密金鑰和 CA 簽署的憑證檔案,請跳至步驟 6。
    • 如果您想要使用自訂選項 (例如,較大的金鑰大小) 產生新憑證,請繼續步驟 3。
  3. 執行命令,為 HTTPS 服務和主控台 Proxy 服務建立公用和私密金鑰配對。
    /opt/vmware/vcloud-director/bin/cell-management-tool generate-certs --cert cert.pem --key cert.key --key-password key_password

    命令使用指定密碼分別在 cert.pemcert.key 中建立或覆寫憑證檔案和私密金鑰檔案。已使用命令的預設值建立憑證。視環境的 DNS 組態而定,簽發者 CN 將設定為每個服務的 IP 位址或 FQDN。此憑證使用預設的 2048 位元金鑰長度,並在建立後一年到期。

    重要: 憑證檔案、私密金鑰檔案及其儲存目錄必須可供使用者 vcloud.vcloud 讀取。 VMware Cloud Director 及其儲存目錄必須可供使用者 vcloud.vcloud 讀取。 VMware Cloud Director 安裝程式會建立此使用者和群組。
  4. cert.csr 檔案中建立憑證簽署要求。
    openssl req -new -key cert.key -reqexts SAN -config <(cat /etc/ssl/openssl.cnf <(printf "\n[SAN]\nsubjectAltName=DNS:vcd2.example.com,DNS:vcd2,IP:10.100.101.10\n")) -out cert.csr
  5. 傳送憑證簽署要求到您的憑證授權機構。
    如果您的憑證授權單位要求您指定網頁伺服器類型,請使用 Jakarta Tomcat。
    取得 CA 簽署憑證。
  6. 執行命令以將根 CA 簽署憑證和任何中繼憑證附加到步驟 2 中產生的憑證。
    cat intermediate-certificate-file-1.cer intermediate-certificate-file-2.cer root-CA-certificate.cer >> cert.pem
  7. 對伺服器群組中的所有 VMware Cloud Director 伺服器重複此程序。

下一步

  • 如果您尚未設定 VMware Cloud Director 執行個體,請執行 configure 指令碼,將憑證匯入至 VMware Cloud Director。請參閱設定網路與資料庫連線
    備註: 如果建立 cert.pemcert.key 憑證檔案時使用的是電腦,而不是您產生完整網域名稱及其相關 IP 位址清單所在的伺服器,請立即將 cert.pemcert.key 檔案複製到該伺服器。執行組態指令碼時,您需要提供憑證和私密金鑰路徑名稱。
  • 如果您已安裝並設定 VMware Cloud Director 執行個體,請使用儲存格管理工具的 certificates 命令匯入憑證。請參閱取代 HTTPS 和主控台 Proxy 端點的憑證