建立與匯入憑證授權機構 (CA) 簽署的憑證為 SSL 通訊提供了最高層級的信任,並有助於保護雲端內的連線安全。
對於 VMware Cloud Director 10.4,如果要建立和匯入 CA 簽署的 SSL 憑證,請參閱為 VMware Cloud Director 10.4 建立和匯入 CA 簽署的 SSL 憑證。
重要: 部署時,
VMware Cloud Director 應用裝置會產生金鑰大小為 2048 位元的自我簽署憑證。必須先評估安裝的安全性需求,然後再選擇適當的金鑰大小。根據 NIST 特刊 800-131A,小於 1024 位元的金鑰大小不再受到支援。
此程序中使用的私密金鑰密碼為 root 使用者密碼,其表示為 root_password。
從 VMware Cloud Director 10.4 開始,主控台 Proxy 流量和 HTTPS 通訊透過預設的 443 連接埠進行。
備註:
VMware Cloud Director 10.4.1 及更新版本不支援主控台 Proxy 功能的舊版實作。
程序
- 以 root 身分直接登入或使用 SSH 用戶端登入 VMware Cloud Director 應用裝置主控台。
- 視您的環境需求而定,請選擇下列其中一個選項。
當您部署
VMware Cloud Director 應用裝置時,
VMware Cloud Director 會自動為 HTTPS 服務和主控台 Proxy 服務產生金鑰大小為 2048 位元的自我簽署憑證。
- 如果想讓憑證授權機構在部署時簽署已產生的憑證,請跳至步驟 5。
- 如果您想要使用自訂選項 (例如,較大的金鑰大小) 產生新憑證,請繼續步驟 3。
- 執行命令以備份現有憑證檔案。
cp /opt/vmware/vcloud-director/etc/user.http.pem /opt/vmware/vcloud-director/etc/user.http.pem.original
cp /opt/vmware/vcloud-director/etc/user.http.key /opt/vmware/vcloud-director/etc/user.http.key.original
- 執行以下命令,為 HTTPS 服務建立公開金鑰和私密金鑰配對。
/opt/vmware/vcloud-director/bin/cell-management-tool generate-certs --cert /opt/vmware/vcloud-director/etc/user.http.pem --key /opt/vmware/vcloud-director/etc/user.http.key --key-password root-password
命令會使用預設值建立或覆寫憑證檔案,然後使用指定的密碼建立或覆寫私密金鑰檔案。視環境的 DNS 組態而定,簽發者一般名稱 (CN) 將設定為每個服務的 IP 位址或 FQDN。此憑證使用預設的 2048 位元金鑰長度,並在建立後一年到期。
重要: 由於
VMware Cloud Director 應用裝置中的設定限制,必須將位置
/opt/vmware/vcloud-director/etc/user.http.pem 和
/opt/vmware/vcloud-director/etc/user.http.key 用於 HTTPS 憑證檔案。
備註: 您可以使用應用裝置
root 密碼做為金鑰密碼。
- 在 http.csr 檔案中為 HTTPS 服務建立憑證簽署要求 (CSR)。
openssl req -new -key /opt/vmware/vcloud-director/etc/user.http.key -reqexts SAN -config <(cat /etc/ssl/openssl.cnf <(printf "\n[SAN]\nsubjectAltName=DNS:vcd2.example.com,DNS:vcd2,IP:10.100.101.10\n")) -out http.csr
- 傳送憑證簽署要求到您的憑證授權機構。
如果您的憑證授權單位要求您指定網頁伺服器類型,請使用 Jakarta Tomcat。
取得 CA 簽署憑證。
- 將 CA 簽署憑證、CA 根憑證和任何中繼憑證複製到 VMware Cloud Director 應用裝置,然後執行命令以使用 CA 簽署的版本覆寫裝置上的現有
user.http.pem 憑證。
cp ca-signed-http.pem /opt/vmware/vcloud-director/etc/user.http.pem
- 若要將根 CA 簽署憑證和任何中繼憑證附加到 HTTP 和主控台 Proxy 憑證,請執行以下命令。
cat intermediate-certificate-file-1.cer intermediate-certificate-file-2.cer root-CA-certificate.cer >> /opt/vmware/vcloud-director/etc/user.http.pem
- 若要將憑證匯入 VMware Cloud Director 執行個體,請執行以下命令。
/opt/vmware/vcloud-director/bin/cell-management-tool certificates -j --cert /opt/vmware/vcloud-director/etc/user.http.pem --key /opt/vmware/vcloud-director/etc/user.http.key --key-password root_password
- 為了使新簽署的憑證生效,請重新啟動 VMware Cloud Director 應用裝置上的
vmware-vcd 服務。
- 執行命令以停止服務。
/opt/vmware/vcloud-director/bin/cell-management-tool cell -i $(service vmware-vcd pid cell) -s
- 執行命令以啟動服務。
systemctl start vmware-vcd
