將私密金鑰和 CA 簽署的 SSL 憑證匯入 VMware Cloud Director 應用裝置 10.4.1 及更新版本

如果您擁有自己的私密金鑰和 CA 簽署的憑證檔案，則將其匯入 VMware Cloud Director 環境中可以為 SSL 通訊提供最高層級的信任，並且有助於保護雲端基礎結構內的連線。

如果要將私密金鑰和 CA 簽署的 SSL 憑證匯入 VMware Cloud Director 10.4，請參閱將私密金鑰和 CA 簽署的 SSL 憑證匯入至 VMware Cloud Director 應用裝置 10.4。

從 VMware Cloud Director 10.4 開始，主控台 Proxy 流量和 HTTPS 通訊透過預設的 443 連接埠進行。主控台 Proxy 不需要單獨的憑證。

備註： VMware Cloud Director 10.4.1 及更新版本不支援主控台 Proxy 功能的舊版實作。

必要條件

若要驗證這是否是滿足您環境需求的相關程序，請自行熟悉建立和管理 VMware Cloud Director 應用裝置的 SSL 憑證。
將中繼憑證、根 CA 憑證、CA 簽署的 HTTPS 服務憑證複製到應用裝置。
確認要匯入的金鑰和憑證是 PEM 編碼的 PKCS #8 私密金鑰和 PEM 編碼的 X.509 憑證。

程序

以 root 身分直接登入或使用 SSH 用戶端登入 VMware Cloud Director 應用裝置主控台。

備份現有憑證檔案。

選項敘述

選項	敘述
如果您的環境已從 VMware Cloud Director 10.2 升級。	使用 `user.http.pem`、 `user.http.key`、`user.consoleproxy.pem` 和 `user.consoleproxy.key` 的內容，記下 /opt/vmware/vcloud-director/etc/global.properties 中的現有 `http` 和 `consoleproxy` 憑證檔案路徑。若要備份現有憑證檔案，請使用步驟 2a 中的路徑執行以下命令。 cp `path_to_the_user.http.pem` /opt/vmware/vcloud-director/etc/user.http.pem.original cp `path_to_the_user.http.key` /opt/vmware/vcloud-director/etc/user.http.key.original
如果您的環境已從 VMware Cloud Director 10.3 升級或者是新部署。	若要備份現有憑證檔案，請執行以下命令。 cp /opt/vmware/vcloud-director/etc/user.http.pem /opt/vmware/vcloud-director/etc/user.http.pem.original cp /opt/vmware/vcloud-director/etc/user.http.key /opt/vmware/vcloud-director/etc/user.http.key.original

如果您的環境已從 VMware Cloud Director 10.2 升級。

使用 user.http.pem、 user.http.key、user.consoleproxy.pem 和 user.consoleproxy.key 的內容，記下 /opt/vmware/vcloud-director/etc/global.properties 中的現有 http 和 consoleproxy 憑證檔案路徑。

若要備份現有憑證檔案，請使用步驟 2a 中的路徑執行以下命令。

cp path_to_the_user.http.pem /opt/vmware/vcloud-director/etc/user.http.pem.original
cp path_to_the_user.http.key /opt/vmware/vcloud-director/etc/user.http.key.original

如果您的環境已從 VMware Cloud Director 10.3 升級或者是新部署。

若要備份現有憑證檔案，請執行以下命令。

cp /opt/vmware/vcloud-director/etc/user.http.pem /opt/vmware/vcloud-director/etc/user.http.pem.original
cp /opt/vmware/vcloud-director/etc/user.http.key /opt/vmware/vcloud-director/etc/user.http.key.original

在以下位置複製並取代必須匯入的金鑰和憑證檔案：/opt/vmware/vcloud-director/etc/user.http.pem 和 /opt/vmware/vcloud-director/etc/user.http.key。
如果您有中繼憑證，若要將根 CA 簽署憑證和任何中繼憑證附加到 HTTP 憑證，請執行以下命令。
```
cat intermediate-certificate-file-1.cer intermediate-certificate-file-2.cer root-CA-certificate.cer >> /opt/vmware/vcloud-director/etc/user.http.pem
```
其中，intermediate-certificate-file-1.cer 和 intermediate-certificate-file-2.cer 是中繼憑證的名稱，而 root-CA-certificate.cer 是根 CA 簽署憑證的名稱。

執行命令以將已簽署的憑證匯入至 VMware Cloud Director 執行個體。

/opt/vmware/vcloud-director/bin/cell-management-tool certificates -j --cert /opt/vmware/vcloud-director/etc/user.http.pem --key /opt/vmware/vcloud-director/etc/user.http.key --key-password imported_key_password

為了使 CA 簽署的憑證生效，請重新啟動 VMware Cloud Director 應用裝置上的 vmware-vcd 服務。
1. 執行命令以停止服務。
```
/opt/vmware/vcloud-director/bin/cell-management-tool cell -i $(service vmware-vcd pid cell) -s
```
2. 執行命令以啟動服務。
```
systemctl start vmware-vcd
```

下一步

如果是使用萬用字元憑證，請參閱使用已簽署的萬用字元憑證部署 VMware Cloud Director 應用裝置 10.4.1 及更新版本以進行 HTTPS 通訊。
如果不是使用萬用字元憑證，請在伺服器群組中的所有 VMware Cloud Director應用裝置儲存格上重複此程序。
如需有關取代內嵌式 PostgreSQL 資料庫和 VMware Cloud Director 應用裝置管理使用者介面之憑證的詳細資訊，請參閱取代自我簽署的內嵌式 PostgreSQL 和 VMware Cloud Director 應用裝置管理 UI 憑證。