您可以使用已簽署的萬用字元憑證部署 VMware Cloud Director 應用裝置。您可以使用這些憑證來保護不限數量的伺服器,這些伺服器是憑證中所列網域名稱的子網域。
依預設,部署 VMware Cloud Director 應用裝置時,VMware Cloud Director 會產生自我簽署憑證,並使用這些憑證來設定用於 HTTPS 和主控台 Proxy 通訊的 VMware Cloud Director 儲存格。
當您成功部署主要應用裝置時,應用裝置組態邏輯會將 responses.properties 檔案從主要應用裝置複製到通用 NFS 共用傳輸服務儲存區 (位於 /opt/vmware/vcloud-director/data/transfer)。為此 VMware Cloud Director 伺服器群組部署的其他應用裝置將會使用此檔案自動進行設定。responses.properties 檔案包含 SSL 憑證和私密金鑰的路徑,其中包括自動產生的自我簽署憑證 user.certificate.path、私密金鑰 user.key.path、主控台 Proxy 憑證 user.consoleproxy.certificate.path 和主控台 Proxy 私密金鑰 user.consoleproxy.key.path。依預設,這些路徑指向每個應用裝置本機的 PEM 檔案。
備註: 用於憑證的金鑰密碼必須與部署所有應用裝置時使用的初始
root 密碼相符。
部署主要應用裝置後,您可以將其重新設定為使用已簽署的憑證。如需有關建立已簽署憑證的詳細資訊,請參閱建立 CA 簽署的 SSL 憑證並將其匯入至 VMware Cloud Director 應用裝置。
如果您在主要 VMware Cloud Director 應用裝置上使用的已簽署憑證是簽署的萬用字元憑證,則這些憑證可套用至 VMware Cloud Director 伺服器群組中的所有其他應用裝置,即待命儲存格和 VMware Cloud Director 應用程式儲存格。您可以使用透過已簽署萬用字元憑證進行 HTTPS 和主控台 Proxy 通訊的應用裝置部署,為其他儲存格設定已簽署萬用字元 SSL 憑證。
程序
- 將 user.http.pem、user.http.key、user.consoleproxy.pem 和 user.consoleproxy.key 檔案從主要應用裝置複製到傳輸共用 (位於 /opt/vmware/vcloud-director/data/transfer/)。
- 將憑證檔案的擁有者和群組權限變更為 vcloud。
chown vcloud.vcloud /opt/vmware/vcloud-director/data/transfer/user.http.pem
chown vcloud.vcloud /opt/vmware/vcloud-director/data/transfer/user.http.key
chown vcloud.vcloud /opt/vmware/vcloud-director/data/transfer/user.consoleproxy.pem
chown vcloud.vcloud /opt/vmware/vcloud-director/data/transfer/user.consoleproxy.key
- 確認憑證檔案的擁有者具有讀取和寫入權限。
chmod 0750 /opt/vmware/vcloud-director/data/transfer/user.http.pem
chmod 0750 /opt/vmware/vcloud-director/data/transfer/user.http.key
chmod 0750 /opt/vmware/vcloud-director/data/transfer/user.consoleproxy.pem
chmod 0750 /opt/vmware/vcloud-director/data/transfer/user.consoleproxy.key
- 在主要應用裝置上,執行命令以將新簽署的憑證匯入到 VMware Cloud Director 執行個體中。
此外,這些命令還會更新傳輸共用中的 responses.properties 檔案,即修改 user.certificate.path、user.key.path、user.consoleproxy.certificate.path 和 user.consoleproxy.key.path 變數以指向傳輸共用中的憑證檔案。
/opt/vmware/vcloud-director/bin/cell-management-tool certificates -j --cert /opt/vmware/vcloud-director/data/transfer/user.http.pem --key /opt/vmware/vcloud-director/data/transfer/user.http.key --key-password root-password
/opt/vmware/vcloud-director/bin/cell-management-tool certificates -p --cert /opt/vmware/vcloud-director/data/transfer/user.consoleproxy.pem --key /opt/vmware/vcloud-director/data/transfer/user.consoleproxy.key --key-password root-password
- 為了使新簽署的憑證生效,請重新啟動主要應用裝置上的
vmware-vcd
服務。
- 執行命令以停止服務。
/opt/vmware/vcloud-director/bin/cell-management-tool cell -i $(service vmware-vcd pid cell) -s
- 執行命令以啟動服務。
systemctl start vmware-vcd
- 使用與金鑰密碼相符的初始 root 密碼,部署待命儲存格和應用程式儲存格應用裝置。
結果
使用相同 NFS 共用傳輸服務儲存區的所有新部署的應用裝置均已設定主要應用裝置所使用的相同已簽署萬用字元 SSL 憑證。