建立與匯入憑證授權機構 (CA) 簽署的憑證為 SSL 通訊提供了最高層級的信任,並有助於保護雲端內的連線安全。

每個 VMware Cloud Director 伺服器必須支援兩個不同的 SSL 端點,分別用於 HTTPS 和主控台 Proxy 通訊。

VMware Cloud Director 應用裝置中,這兩個端點共用相同的 IP 位址或主機名稱,但使用兩個不同的連接埠 - 將連接埠 443 用於 HTTPS,將 8443 用於主控台 Proxy 通訊。您可以針對兩個端點使用相同的憑證,例如,使用萬用字元憑證。

兩個端點的憑證皆必須包含 X.500 辨別名稱和 X.509 主體別名延伸。

如果您已有個人私密金鑰和 CA 簽署的憑證檔案,請依照將私密金鑰和 CA 簽署的 SSL 憑證匯入至 VMware Cloud Director 應用裝置中所述的程序進行操作。

重要: 部署時, VMware Cloud Director 應用裝置會產生金鑰大小為 2048 位元的自我簽署憑證。必須先評估安裝的安全性需求,然後再選擇適當的金鑰大小。根據 NIST 特刊 800-131A,小於 1024 位元的金鑰大小不再受到支援。

此程序中使用的私密金鑰密碼為 root 使用者密碼,其表示為 root_password

程序

  1. root 身分直接登入或使用 SSH 用戶端登入 VMware Cloud Director 應用裝置主控台。
  2. 視您的環境需求而定,請選擇下列其中一個選項。
    當您部署 VMware Cloud Director 應用裝置時, VMware Cloud Director 會自動為 HTTPS 服務和主控台 Proxy 服務產生金鑰大小為 2048 位元的自我簽署憑證。
    • 如果想讓憑證授權機構在部署時簽署已產生的憑證,請跳至步驟 5
    • 如果您想要使用自訂選項 (例如,較大的金鑰大小) 產生新憑證,請繼續步驟 3
  3. 執行命令以備份現有憑證檔案。
    cp /opt/vmware/vcloud-director/etc/user.http.pem /opt/vmware/vcloud-director/etc/user.http.pem.original
    cp /opt/vmware/vcloud-director/etc/user.http.key /opt/vmware/vcloud-director/etc/user.http.key.original
    cp /opt/vmware/vcloud-director/etc/user.consoleproxy.pem /opt/vmware/vcloud-director/etc/user.consoleproxy.pem.original
    cp /opt/vmware/vcloud-director/etc/user.consoleproxy.key /opt/vmware/vcloud-director/etc/user.consoleproxy.key.original
  4. 執行下列命令,為 HTTPS 服務和主控台 Proxy 服務建立公開金鑰和私密金鑰配對。
    /opt/vmware/vcloud-director/bin/cell-management-tool generate-certs --cert /opt/vmware/vcloud-director/etc/user.http.pem --key /opt/vmware/vcloud-director/etc/user.http.key --key-password root-password
    /opt/vmware/vcloud-director/bin/cell-management-tool generate-certs --cert /opt/vmware/vcloud-director/etc/user.consoleproxy.pem --key /opt/vmware/vcloud-director/etc/user.consoleproxy.key --key-password root-password

    命令會使用預設值建立或覆寫憑證檔案,然後使用指定的密碼建立或覆寫私密金鑰檔案。視環境的 DNS 組態而定,簽發者一般名稱 (CN) 將設定為每個服務的 IP 位址或 FQDN。此憑證使用預設的 2048 位元金鑰長度,並在建立後一年到期。

    重要: 由於 VMware Cloud Director 應用裝置中的組態限制,您必須將 /opt/vmware/vcloud-director/etc/user.http.pem/opt/vmware/vcloud-director/etc/user.http.key 位置用於 HTTPS 憑證檔案,並將 /opt/vmware/vcloud-director/etc/user.consoleproxy.pem/opt/vmware/vcloud-director/etc/user.consoleproxy.key 用於主控台 Proxy 憑證檔案。
    備註: 您可以使用應用裝置 root 密碼做為金鑰密碼。
  5. 為 HTTPS 服務和主控台 Proxy 服務建立憑證簽署要求 (CSR)。
    重要: VMware Cloud Director 應用裝置會針對 HTTPS 服務和主控台 Proxy 服務共用相同的 IP 位址和主機名稱。因此,CSR 建立命令必須為主體別名 (SAN) 延伸引數提供相同的 DNS 和 IP。
    1. http.csr 檔案中建立憑證簽署要求。
      openssl req -new -key /opt/vmware/vcloud-director/etc/user.http.key -reqexts SAN -config <(cat /etc/ssl/openssl.cnf <(printf "\n[SAN]\nsubjectAltName=DNS:vcd2.example.com,DNS:vcd2,IP:10.100.101.10\n")) -out http.csr
    2. consoleproxy.csr 檔案中建立憑證簽署要求。
      openssl req -new -key /opt/vmware/vcloud-director/etc/user.consoleproxy.key -reqexts SAN -config <(cat /etc/ssl/openssl.cnf <(printf "\n[SAN]\nsubjectAltName=DNS:vcd2.example.com,DNS:vcd2,IP:10.100.101.10\n")) -out consoleproxy.csr
  6. 傳送憑證簽署要求到您的憑證授權機構。
    如果您的憑證授權單位要求您指定網頁伺服器類型,請使用 Jakarta Tomcat。
    取得 CA 簽署憑證。
  7. 將 CA 簽署的憑證、CA 根憑證和任何中繼憑證複製到 VMware Cloud Director 應用裝置,然後執行命令以覆寫現有憑證。
    1. 執行以下命令以使用 CA 簽署的版本覆寫應用裝置上的現有 user.http.pem 憑證。
      cp ca-signed-http.pem /opt/vmware/vcloud-director/etc/user.http.pem
    2. 執行以下命令以使用 CA 簽署的版本覆寫應用裝置上的現有 user.consoleproxy.pem
      cp ca-signed-consoleproxy.pem /opt/vmware/vcloud-director/etc/user.consoleproxy.pem
  8. 執行命令以將根 CA 簽署憑證和任何中繼憑證附加到 HTTP 和主控台 Proxy 憑證。
    cat intermediate-certificate-file-1.cer intermediate-certificate-file-2.cer root-CA-certificate.cer >> /opt/vmware/vcloud-director/etc/user.http.pem
    cat intermediate-certificate-file-1.cer intermediate-certificate-file-2.cer root-CA-certificate.cer >> /opt/vmware/vcloud-director/etc/user.consoleproxy.pem
  9. 執行命令,將憑證匯入至 VMware Cloud Director 執行個體。
    /opt/vmware/vcloud-director/bin/cell-management-tool certificates -j --cert /opt/vmware/vcloud-director/etc/user.http.pem --key /opt/vmware/vcloud-director/etc/user.http.key --key-password root_password
    /opt/vmware/vcloud-director/bin/cell-management-tool certificates -p --cert /opt/vmware/vcloud-director/etc/user.consoleproxy.pem --key /opt/vmware/vcloud-director/etc/user.consoleproxy.key --key-password root_password
  10. 為了使新簽署的憑證生效,請重新啟動 VMware Cloud Director 應用裝置上的 vmware-vcd 服務。
    1. 執行命令以停止服務。
      /opt/vmware/vcloud-director/bin/cell-management-tool cell -i $(service vmware-vcd pid cell) -s
    2. 執行命令以啟動服務。
      systemctl start vmware-vcd

下一步