使用儲存格管理工具的 generate-certs 命令為 HTTPS 和主控台 Proxy 端點產生自我簽署的 SSL 憑證。

每個 VMware Cloud Director 伺服器群組都必須支援兩個 SSL 端點:一個用於 HTTPS 服務,另一個則用於主控台 Proxy 服務。HTTPS 服務端點支援 VMware Cloud Director Service Provider Admin Portal VMware Cloud Director Tenant PortalVMware Cloud Director API。遠端主控台 Proxy 端點支援 VMRC 至 vApp 和虛擬機器的連線。

儲存格管理工具的 generate-certs 命令將自動執行為 Linux 上的 VMware Cloud Director 建立自我簽署的 SSL 憑證程序。

若要產生新的自我簽署 SSL 憑證,請使用下列形式的命令列︰
cell-management-tool generate-certs options
表 1. 儲存格管理工具選項與引數、generate-certs 子命令
選項 引數 描述
--help (-h) 提供此類別中可用命令的摘要。
--expiration (-x) days-until-expiration 憑證到期剩餘天數。預設為 365
--issuer (-i) name=value [, name=value, ...] X.509 憑證簽發者的辨別名稱。預設為 CN=FQDN。其中 FQDN 是儲存格的完整網域名稱或其 IP 位址 (如果沒有可用的完整網域名稱)。若要指定多個屬性和值組,請以英文逗號 (,) 隔開並用引號包住整個引數。
--key-size (-s) key-size 金鑰組大小,以整數位元數表示。預設為 2048。根據 NIST 特刊 800-131A,小於 1024 的金鑰大小不再受到支援。
--key-password key-password 所產生私密金鑰的密碼。
--cert cert 所產生憑證檔案的路徑。
--key key 所產生私密金鑰檔案的路徑。

建立自我簽署憑證

這兩個範例均假設 /tmp/cell.pem 下具有憑證檔案且 /tmp/cell.key 下具有對應的私密金鑰檔案,且密碼為 kpw。如果這些檔案尚未存在,將會建立這些檔案。

本範例將使用下列預設值來建立新憑證。簽發者名稱設定為 CN=Unknown。此憑證使用預設的 2048 位元金鑰長度,並在建立後一年到期。
[root@cell1 /opt/vmware/vcloud-director/bin]# ./cell-management-tool generate-certs --cert /tmp/cell.pem --key /tmp/cell.key --key-password kpw
New certificate created and written to /tmp/cell.pem
New private key created and written to /tmp/cell.key
此範例為金鑰大小與簽發者名稱指定自訂值。簽發者名稱設定為 CN=Test, L=London, C=GB。HTTPS 連線的新憑證包含一個 4096 位元的金鑰,會在建立後 90 天到期。
[root@cell1 /opt/vmware/vcloud-director/bin]# ./cell-management-tool generate-certs --cert /tmp/cell.pem --key /tmp/cell.key --key-password kpw -i "CN=Test, L=London, C=GB" -s 4096 -x 90
New certificate created and written to /tmp/cell.pem
New private key created and written to /tmp/cell.key
重要: 憑證和私密金鑰檔案及其儲存目錄必須可供使用者 vcloud.vcloud 讀取。 VMware Cloud Director 安裝程式會建立此使用者和群組。