在高度信任的環境下,自我簽署憑證可提供一個較為便利的方式來為 VMware Cloud Director 設定 SSL。

VMware Cloud Director 10.4 開始,主控台 Proxy 流量和 HTTPS 通訊透過預設的 443 連接埠進行。主控台 Proxy 不需要單獨的憑證。

備註: VMware Cloud Director 10.4.1 及更新版本不支援主控台 Proxy 功能的舊版實作。

對於 VMware Cloud Director 10.4,如果要使用專用主控台 Proxy 存取點的舊版實作,可以從 Service Provider Admin Portal管理索引標籤下的 [功能旗標] 設定功能表中啟用 LegacyConsoleProxy 功能。若要啟用 LegacyConsoleProxy 功能,您的安裝或部署必須具有在先前版本中設定並透過 VMware Cloud Director 升級傳輸的主控台 Proxy 設定。啟用或停用該功能後,必須重新啟動儲存格。如果啟用舊版主控台 Proxy 實作,則主控台 Proxy 必須具有單獨的憑證。請參閱本文件的 VMware Cloud Director 10.3 版本。

您可以使用 cell-management-tool 建立自我簽署的 SSL 憑證。在執行組態代理程式之前及執行安裝檔案之後,cell-management-tool 公用程式會安裝在儲存格上。請參閱在伺服器群組的第一個成員上安裝 VMware Cloud Director 軟體

重要: 這些範例指定 2048 位元的金鑰大小,但是您應當先評估安裝的安全需求,然後再選擇適當的金鑰大小。根據 NIST 特刊 800-131A,小於 1024 位元的金鑰大小不再受到支援。

程序

  1. root 身分直接登入或使用 SSH 用戶端登入 VMware Cloud Director 伺服器的作業系統。
  2. 建立公開金鑰和私密金鑰配對。 
    /opt/vmware/vcloud-director/bin/cell-management-tool generate-certs --cert cert.pem --key cert.key --key-password passwd

    命令會建立具有私密金鑰 cert.key 且密碼為 passwd 的憑證 cert.pemcell-management-tool 將使用命令的預設值建立憑證。視環境的 DNS 組態而定,簽發者 CN 將設定為每個服務的 IP 位址或 FQDN。此憑證使用預設的 2048 位元金鑰長度,並在建立後一年到期。

    重要: 憑證檔案、私密金鑰檔案及其儲存目錄必須可供使用者 vcloud.vcloud 讀取。 VMware Cloud Director 安裝程式會建立此使用者和群組。

下一步

記下憑證和私密金鑰路徑名稱。當您執行組態指令碼來建立 VMware Cloud Director 儲存格的網路和資料庫連線時,需要提供這些路徑名稱。請參閱設定網路與資料庫連線