使用儲存格管理工具的 generate-certs 命令為 HTTPS 和主控台 Proxy 端點產生自我簽署的 SSL 憑證。
每個 VMware Cloud Director 伺服器群組都必須支援兩個 SSL 端點:一個用於 HTTPS 服務,另一個則用於主控台 Proxy 服務。HTTPS 服務端點支援 VMware Cloud Director Service Provider Admin Portal、 VMware Cloud Director Tenant Portal 和 VMware Cloud Director API。遠端主控台 Proxy 端點支援 VMRC 至 vApp 和虛擬機器的連線。
儲存格管理工具的 generate-certs 命令將自動執行為 Linux 上的 VMware Cloud Director 建立自我簽署的 SSL 憑證程序。
若要產生新的自我簽署 SSL 憑證,請使用下列形式的命令列︰
cell-management-tool generate-certs options
| 選項 | 引數 | 描述 |
|---|---|---|
| --help (-h) | 無 | 提供此類別中可用命令的摘要。 |
| --expiration (-x) | days-until-expiration | 憑證到期剩餘天數。預設為 365 |
| --issuer (-i) | name=value [, name=value, ...] | X.509 憑證簽發者的辨別名稱。預設為 CN=FQDN。其中 FQDN 是儲存格的完整網域名稱或其 IP 位址 (如果沒有可用的完整網域名稱)。若要指定多個屬性和值組,請以英文逗號 (,) 隔開並用引號包住整個引數。 |
| --key-size (-s) | key-size | 金鑰組大小,以整數位元數表示。預設為 2048。根據 NIST 特刊 800-131A,小於 1024 的金鑰大小不再受到支援。 |
| --key-password | key-password | 所產生私密金鑰的密碼。 |
| --cert | cert | 所產生憑證檔案的路徑。 |
| --key | key | 所產生私密金鑰檔案的路徑。 |
建立自我簽署憑證
這兩個範例均假設 /tmp/cell.pem 下具有憑證檔案且 /tmp/cell.key 下具有對應的私密金鑰檔案,且密碼為 kpw。如果這些檔案尚未存在,將會建立這些檔案。
本範例將使用下列預設值來建立新憑證。簽發者名稱設定為
CN=Unknown。此憑證使用預設的 2048 位元金鑰長度,並在建立後一年到期。
[root@cell1 /opt/vmware/vcloud-director/bin]# ./cell-management-tool generate-certs --cert /tmp/cell.pem --key /tmp/cell.key --key-password kpw New certificate created and written to /tmp/cell.pem New private key created and written to /tmp/cell.key
此範例為金鑰大小與簽發者名稱指定自訂值。簽發者名稱設定為
CN=Test, L=London, C=GB。HTTPS 連線的新憑證包含一個 4096 位元的金鑰,會在建立後 90 天到期。
[root@cell1 /opt/vmware/vcloud-director/bin]# ./cell-management-tool generate-certs --cert /tmp/cell.pem --key /tmp/cell.key --key-password kpw -i "CN=Test, L=London, C=GB" -s 4096 -x 90 New certificate created and written to /tmp/cell.pem New private key created and written to /tmp/cell.key
重要: 憑證和私密金鑰檔案及其儲存目錄必須可供使用者
vcloud.vcloud 讀取。
VMware Cloud Director 安裝程式會建立此使用者和群組。
