建立與匯入 CA 簽署的憑證為 SSL 通訊提供了最高層級的信任,並有助於保護雲端基礎結構內的連線安全。
從 VMware Cloud Director 10.4 開始,主控台 Proxy 流量和 HTTPS 通訊透過預設的 443 連接埠進行。主控台 Proxy 不需要單獨的憑證。
備註:
VMware Cloud Director 10.4.1 及更新版本不支援主控台 Proxy 功能的舊版實作。
HTTPS 端點的憑證必須包含 X.500 辨別名稱和 X.509 主體別名延伸。
您可以使用由信任憑證授權機構 (CA) 簽署的憑證或是自我簽署憑證。
您可以使用 cell-management-tool
建立自我簽署的 SSL 憑證。在執行組態代理程式之前及執行安裝檔案之後,cell-management-tool
公用程式會安裝在儲存格上。請參閱在伺服器群組的第一個成員上安裝 VMware Cloud Director 軟體。
重要: 這些範例指定 2048 位元的金鑰大小,但是您應當先評估安裝的安全需求,然後再選擇適當的金鑰大小。根據 NIST 特刊 800-131A,小於 1024 位元的金鑰大小不再受到支援。
必要條件
- 下載並安裝 OpenSSL。
- 如需有關
generate-certs
命令之可用選項的更多詳細資料,請參閱〈為 HTTPS 和主控台 Proxy 端點產生自我簽署憑證〉。 - 如需有關
certificates
命令之可用選項的更多詳細資料,請參閱取代 VMware Cloud Director HTTPS 端點的憑證。
程序
下一步
- 如果您尚未設定 VMware Cloud Director 執行個體,請執行 configure 指令碼,將憑證匯入至 VMware Cloud Director。請參閱設定 VMware Cloud Director 網路與資料庫連線。
備註: 如果建立 cert.pem 或 cert.key 憑證檔案時使用的是電腦,而不是您產生完整網域名稱及其相關 IP 位址清單所在的伺服器,請立即將 cert.pem 和 cert.key 檔案複製到該伺服器。執行組態指令碼時,您需要提供憑證和私密金鑰路徑名稱。
- 如果您已安裝並設定 VMware Cloud Director 執行個體,請使用儲存格管理工具的 certificates 命令匯入憑證。請參閱取代 VMware Cloud Director HTTPS 端點的憑證。