您可以使用已簽署的萬用字元憑證部署 VMware Cloud Director 應用裝置。您可以使用這些憑證來保護不限數量的伺服器,這些伺服器是憑證中所列網域名稱的子網域。

如果要部署 VMware Cloud Director 應用裝置 10.4,請參閱使用已簽署的萬用字元憑證部署 VMware Cloud Director 應用裝置 10.4 以進行 HTTPS 通訊

依預設,部署 VMware Cloud Director 應用裝置時,VMware Cloud Director 會產生自我簽署憑證,並使用這些憑證來設定用於 HTTPS 通訊的 VMware Cloud Director 儲存格。

VMware Cloud Director 10.4 開始,主控台 Proxy 流量和 HTTPS 通訊透過預設的 443 連接埠進行。主控台 Proxy 不需要單獨的憑證。

備註: VMware Cloud Director 10.4.1 及更新版本不支援主控台 Proxy 功能的舊版實作。

當您成功部署主要應用裝置時,應用裝置組態邏輯會將 responses.properties 檔案從主要應用裝置複製到通用 NFS 共用傳輸服務儲存區 (位於 /opt/vmware/vcloud-director/data/transfer)。為此 VMware Cloud Director 伺服器群組部署的其他應用裝置將會使用此檔案自動進行設定。responses.properties 檔案包含 SSL 憑證和私密金鑰的路徑,其中包括自動產生的自我簽署憑證 user.certificate.path 和私密金鑰 user.key.path。依預設,這些路徑指向每個應用裝置本機的 PEM 檔案。

備註: 用於憑證的金鑰密碼必須與部署所有應用裝置時使用的初始 root 密碼相符。

部署主要應用裝置後,您可以將其重新設定為使用已簽署的憑證。如需有關建立已簽署憑證的詳細資訊,請參閱對於 VMware Cloud Director 應用裝置 10.4.1 及更新版本,建立和匯入 CA 簽署的 SSL 憑證

如果您在主要 VMware Cloud Director 應用裝置上使用的已簽署憑證是簽署的萬用字元憑證,則這些憑證可套用至 VMware Cloud Director 伺服器群組中的所有其他應用裝置,即待命儲存格和 VMware Cloud Director 應用程式儲存格。您可以使用透過已簽署萬用字元憑證進行 HTTPS 通訊的應用裝置部署,為其他儲存格設定已簽署萬用字元 SSL 憑證。

必要條件

若要驗證這是否是滿足您環境需求的相關程序,請自行熟悉建立和管理 VMware Cloud Director 應用裝置的 SSL 憑證

程序

  1. user.http.pemuser.http.key 檔案從主要應用裝置複製到傳輸共用 (位於 /opt/vmware/vcloud-director/data/transfer/)。
  2. 將憑證檔案的擁有者和群組權限變更為 vcloud 
    chown vcloud.vcloud /opt/vmware/vcloud-director/data/transfer/user.http.pem
chown vcloud.vcloud /opt/vmware/vcloud-director/data/transfer/user.http.key
  3. 確認憑證檔案的擁有者具有讀取和寫入權限。 
    chmod 0750 /opt/vmware/vcloud-director/data/transfer/user.http.pem
chmod 0750 /opt/vmware/vcloud-director/data/transfer/user.http.key
  4. 在主要應用裝置上,執行命令以將新簽署的憑證匯入到 VMware Cloud Director 執行個體中。

    此外,這些命令還會更新傳輸共用中的 responses.properties 檔案,修改 user.certificate.pathuser.key.path 變數以指向傳輸共用中的憑證檔案。

    /opt/vmware/vcloud-director/bin/cell-management-tool certificates -j --cert /opt/vmware/vcloud-director/data/transfer/user.http.pem --key /opt/vmware/vcloud-director/data/transfer/user.http.key --key-password root-password
  5. 為了使新簽署的憑證生效,請重新啟動主要應用裝置上的 vmware-vcd 服務。
    1. 執行命令以停止服務。 
      /opt/vmware/vcloud-director/bin/cell-management-tool cell -i $(service vmware-vcd pid cell) -s
    2. 執行命令以啟動服務。 
      systemctl start vmware-vcd
  6. 使用與金鑰密碼相符的初始 root 密碼,部署待命儲存格和應用程式儲存格應用裝置。

結果

使用相同 NFS 共用傳輸服務儲存區的所有新部署的應用裝置均已設定主要應用裝置所使用的相同已簽署萬用字元 SSL 憑證。