為 Linux 上的 VMware Cloud Director 建立和匯入 CA 簽署的 SSL 憑證

建立與匯入 CA 簽署的憑證為 SSL 通訊提供了最高層級的信任，並有助於保護雲端基礎結構內的連線安全。

從 VMware Cloud Director 10.4 開始，主控台 Proxy 流量和 HTTPS 通訊透過預設的 443 連接埠進行。主控台 Proxy 不需要單獨的憑證。

備註： VMware Cloud Director 10.4.1 及更新版本不支援主控台 Proxy 功能的舊版實作。

對於 VMware Cloud Director 10.4，如果要使用專用主控台 Proxy 存取點的舊版實作，可以從 Service Provider Admin Portal的管理索引標籤下的 [功能旗標] 設定功能表中啟用 LegacyConsoleProxy 功能。若要啟用 LegacyConsoleProxy 功能，您的安裝或部署必須具有在先前版本中設定並透過 VMware Cloud Director 升級傳輸的主控台 Proxy 設定。啟用或停用該功能後，必須重新啟動儲存格。如果啟用舊版主控台 Proxy 實作，則主控台 Proxy 必須具有單獨的憑證。請參閱本文件的 VMware Cloud Director 10.3 版本。

HTTPS 端點的憑證必須包含 X.500 辨別名稱和 X.509 主體別名延伸。

您可以使用由信任憑證授權機構 (CA) 簽署的憑證或是自我簽署憑證。

您可以使用 cell-management-tool 建立自我簽署的 SSL 憑證。在執行組態代理程式之前及執行安裝檔案之後，cell-management-tool 公用程式會安裝在儲存格上。請參閱在伺服器群組的第一個成員上安裝 VMware Cloud Director 軟體。

重要：這些範例指定 2048 位元的金鑰大小，但是您應當先評估安裝的安全需求，然後再選擇適當的金鑰大小。根據 NIST 特刊 800-131A，小於 1024 位元的金鑰大小不再受到支援。

必要條件

下載並安裝 OpenSSL。
如需有關 generate-certs 命令之可用選項的更多詳細資料，請參閱〈為 HTTPS 和主控台 Proxy 端點產生自我簽署憑證〉。
如需有關 certificates 命令之可用選項的更多詳細資料，請參閱取代 HTTPS 端點的憑證。

程序

以 root 身分直接登入或使用 SSH 用戶端登入 VMware Cloud Director 伺服器儲存格的作業系統。
視您的環境需求而定，請選擇下列其中一個選項。
- 如果您擁有自己的私密金鑰和 CA 簽署的憑證檔案，請跳至步驟 6。
- 如果您想要使用自訂選項 (例如，較大的金鑰大小) 產生新憑證，請繼續步驟 3。
若要為 HTTPS 服務建立公開金鑰和私密金鑰配對，請執行以下命令。
```
/opt/vmware/vcloud-director/bin/cell-management-tool generate-certs --cert cert.pem --key cert.key --key-password key_password
```
命令使用指定密碼分別在 cert.pem 和 cert.key 中建立或覆寫憑證檔案和私密金鑰檔案。已使用命令的預設值建立憑證。視環境的 DNS 組態而定，簽發者 CN 將設定為每個服務的 IP 位址或 FQDN。此憑證使用預設的 2048 位元金鑰長度，並在建立後一年到期。

重要：憑證檔案、私密金鑰檔案及其儲存目錄必須可供使用者 vcloud.vcloud 讀取。 VMware Cloud Director 及其儲存目錄必須可供使用者 vcloud.vcloud 讀取。 VMware Cloud Director 安裝程式會建立此使用者和群組。

在 cert.csr 檔案中建立憑證簽署要求。

openssl req -new -key cert.key -reqexts SAN -config <(cat /etc/ssl/openssl.cnf <(printf "\n[SAN]\nsubjectAltName=DNS:vcd2.example.com,DNS:vcd2,IP:10.100.101.10\n")) -out cert.csr

傳送憑證簽署要求到您的憑證授權機構。
如果您的憑證授權單位要求您指定網頁伺服器類型，請使用 Jakarta Tomcat。

取得 CA 簽署憑證。

執行命令以將根 CA 簽署憑證和任何中繼憑證附加到步驟 2 中產生的憑證。

cat intermediate-certificate-file-1.cer intermediate-certificate-file-2.cer root-CA-certificate.cer >> cert.pem

對伺服器群組中的所有 VMware Cloud Director 伺服器重複此程序。

下一步

如果您尚未設定 VMware Cloud Director 執行個體，請執行 configure 指令碼，將憑證匯入至 VMware Cloud Director。請參閱設定網路與資料庫連線。

備註：如果建立 cert.pem 或 cert.key 憑證檔案時使用的是電腦，而不是您產生完整網域名稱及其相關 IP 位址清單所在的伺服器，請立即將 cert.pem 和 cert.key 檔案複製到該伺服器。執行組態指令碼時，您需要提供憑證和私密金鑰路徑名稱。
如果您已安裝並設定 VMware Cloud Director 執行個體，請使用儲存格管理工具的 certificates 命令匯入憑證。請參閱取代 HTTPS 端點的憑證。