建立與匯入憑證授權機構 (CA) 簽署的憑證為 SSL 通訊提供了最高層級的信任,並有助於保護雲端內的連線安全。
每個 VMware Cloud Director 伺服器必須支援兩個不同的 SSL 端點,分別用於 HTTPS 和主控台 Proxy 通訊。
在 VMware Cloud Director 應用裝置中,這兩個端點共用相同的 IP 位址或主機名稱,但使用兩個不同的連接埠 - 將連接埠 443 用於 HTTPS,將 8443 用於主控台 Proxy 通訊。您可以針對兩個端點使用相同的憑證,例如,使用萬用字元憑證。
兩個端點的憑證皆必須包含 X.500 辨別名稱和 X.509 主體別名延伸。
如果您已有個人私密金鑰和 CA 簽署的憑證檔案,請依照將私密金鑰和 CA 簽署的 SSL 憑證匯入至 VMware Cloud Director 應用裝置中所述的程序進行操作。
重要: 部署時,
VMware Cloud Director 應用裝置會產生金鑰大小為 2048 位元的自我簽署憑證。必須先評估安裝的安全性需求,然後再選擇適當的金鑰大小。根據 NIST 特刊 800-131A,小於 1024 位元的金鑰大小不再受到支援。
此程序中使用的私密金鑰密碼為 root 使用者密碼,其表示為 root_password。
程序
- 以 root 身分直接登入或使用 SSH 用戶端登入 VMware Cloud Director 應用裝置主控台。
- 視您的環境需求而定,請選擇下列其中一個選項。
當您部署
VMware Cloud Director 應用裝置時,
VMware Cloud Director 會自動為 HTTPS 服務和主控台 Proxy 服務產生金鑰大小為 2048 位元的自我簽署憑證。
- 如果想讓憑證授權機構在部署時簽署已產生的憑證,請跳至步驟 5。
- 如果您想要使用自訂選項 (例如,較大的金鑰大小) 產生新憑證,請繼續步驟 3。
- 執行命令以備份現有憑證檔案。
cp /opt/vmware/vcloud-director/etc/user.http.pem /opt/vmware/vcloud-director/etc/user.http.pem.original
cp /opt/vmware/vcloud-director/etc/user.http.key /opt/vmware/vcloud-director/etc/user.http.key.original
cp /opt/vmware/vcloud-director/etc/user.consoleproxy.pem /opt/vmware/vcloud-director/etc/user.consoleproxy.pem.original
cp /opt/vmware/vcloud-director/etc/user.consoleproxy.key /opt/vmware/vcloud-director/etc/user.consoleproxy.key.original
- 執行下列命令,為 HTTPS 服務和主控台 Proxy 服務建立公開金鑰和私密金鑰配對。
/opt/vmware/vcloud-director/bin/cell-management-tool generate-certs --cert /opt/vmware/vcloud-director/etc/user.http.pem --key /opt/vmware/vcloud-director/etc/user.http.key --key-password root-password
/opt/vmware/vcloud-director/bin/cell-management-tool generate-certs --cert /opt/vmware/vcloud-director/etc/user.consoleproxy.pem --key /opt/vmware/vcloud-director/etc/user.consoleproxy.key --key-password root-password
命令會使用預設值建立或覆寫憑證檔案,然後使用指定的密碼建立或覆寫私密金鑰檔案。視環境的 DNS 組態而定,簽發者一般名稱 (CN) 將設定為每個服務的 IP 位址或 FQDN。此憑證使用預設的 2048 位元金鑰長度,並在建立後一年到期。
重要: 由於
VMware Cloud Director 應用裝置中的組態限制,您必須將
/opt/vmware/vcloud-director/etc/user.http.pem 和
/opt/vmware/vcloud-director/etc/user.http.key 位置用於 HTTPS 憑證檔案,並將
/opt/vmware/vcloud-director/etc/user.consoleproxy.pem 和
/opt/vmware/vcloud-director/etc/user.consoleproxy.key 用於主控台 Proxy 憑證檔案。
備註: 您可以使用應用裝置
root 密碼做為金鑰密碼。
- 為 HTTPS 服務和主控台 Proxy 服務建立憑證簽署要求 (CSR)。
重要:
VMware Cloud Director 應用裝置會針對 HTTPS 服務和主控台 Proxy 服務共用相同的 IP 位址和主機名稱。因此,CSR 建立命令必須為主體別名 (SAN) 延伸引數提供相同的 DNS 和 IP。
- 在 http.csr 檔案中建立憑證簽署要求。
openssl req -new -key /opt/vmware/vcloud-director/etc/user.http.key -reqexts SAN -config <(cat /etc/ssl/openssl.cnf <(printf "\n[SAN]\nsubjectAltName=DNS:vcd2.example.com,DNS:vcd2,IP:10.100.101.10\n")) -out http.csr
- 在 consoleproxy.csr 檔案中建立憑證簽署要求。
openssl req -new -key /opt/vmware/vcloud-director/etc/user.consoleproxy.key -reqexts SAN -config <(cat /etc/ssl/openssl.cnf <(printf "\n[SAN]\nsubjectAltName=DNS:vcd2.example.com,DNS:vcd2,IP:10.100.101.10\n")) -out consoleproxy.csr
- 傳送憑證簽署要求到您的憑證授權機構。
如果您的憑證授權單位要求您指定網頁伺服器類型,請使用 Jakarta Tomcat。
取得 CA 簽署憑證。
- 將 CA 簽署的憑證、CA 根憑證和任何中繼憑證複製到 VMware Cloud Director 應用裝置,然後執行命令以覆寫現有憑證。
- 執行以下命令以使用 CA 簽署的版本覆寫應用裝置上的現有
user.http.pem 憑證。
cp ca-signed-http.pem /opt/vmware/vcloud-director/etc/user.http.pem
- 執行以下命令以使用 CA 簽署的版本覆寫應用裝置上的現有
user.consoleproxy.pem。
cp ca-signed-consoleproxy.pem /opt/vmware/vcloud-director/etc/user.consoleproxy.pem
- 執行命令以將根 CA 簽署憑證和任何中繼憑證附加到 HTTP 和主控台 Proxy 憑證。
cat intermediate-certificate-file-1.cer intermediate-certificate-file-2.cer root-CA-certificate.cer >> /opt/vmware/vcloud-director/etc/user.http.pem
cat intermediate-certificate-file-1.cer intermediate-certificate-file-2.cer root-CA-certificate.cer >> /opt/vmware/vcloud-director/etc/user.consoleproxy.pem
- 執行命令,將憑證匯入至 VMware Cloud Director 執行個體。
/opt/vmware/vcloud-director/bin/cell-management-tool certificates -j --cert /opt/vmware/vcloud-director/etc/user.http.pem --key /opt/vmware/vcloud-director/etc/user.http.key --key-password root_password
/opt/vmware/vcloud-director/bin/cell-management-tool certificates -p --cert /opt/vmware/vcloud-director/etc/user.consoleproxy.pem --key /opt/vmware/vcloud-director/etc/user.consoleproxy.key --key-password root_password
- 為了使新簽署的憑證生效,請重新啟動 VMware Cloud Director 應用裝置上的
vmware-vcd 服務。
- 執行命令以停止服務。
/opt/vmware/vcloud-director/bin/cell-management-tool cell -i $(service vmware-vcd pid cell) -s
- 執行命令以啟動服務。
systemctl start vmware-vcd
