使用 VMware Cloud Director 儲存格管理工具的 generate-certs 命令為 HTTPS 端點產生自我簽署的 SSL 憑證。
每個 VMware Cloud Director 伺服器群組都必須支援 HTTPS 服務的端點。從 VMware Cloud Director 10.4 開始,主控台 Proxy 流量和 HTTPS 通訊透過預設的 443 連接埠進行。HTTPS 服務端點支援 VMware Cloud Director Service Provider Admin Portal、 VMware Cloud Director Tenant Portal、VMware Cloud Director API 以及與 vApp 和虛擬機器的 VMRC 連線相關的主控台 Proxy 流量。
備註:
VMware Cloud Director 10.4.1 及更新版本不支援主控台 Proxy 功能的舊版實作。
儲存格管理工具的 generate-certs 命令將自動執行為 Linux 上的 VMware Cloud Director 建立自我簽署的 SSL 憑證程序。
若要產生新的自我簽署 SSL 憑證,請使用下列形式的命令列︰
cell-management-toolgenerate-certsoptions
| 選項 | 引數 | 描述 |
|---|---|---|
| --help (-h) | 無 | 提供此類別中可用命令的摘要。 |
| --expiration (-x) | days-until-expiration | 憑證到期剩餘天數。預設為 365 |
| --issuer (-i) | name=value [, name=value, ...] | X.509 憑證簽發者的辨別名稱。預設為 CN=FQDN。其中 FQDN 是儲存格的完整網域名稱或其 IP 位址 (如果沒有可用的完整網域名稱)。若要指定多個屬性和值組,請以英文逗號 (,) 隔開並用引號包住整個引數。 |
| --key-size (-s) | key-size | 金鑰組大小,以整數位元數表示。預設為 2048。根據 NIST 特刊 800-131A,小於 1024 的金鑰大小不再受到支援。 |
| --key-password | key-password | 所產生私密金鑰的密碼。 |
| --cert | cert | 所產生 PEM 編碼 X.509 憑證檔案的路徑。 |
| --key | key | 所產生 PEM 編碼 PKCS #8 私密金鑰檔案的路徑。 |
建立自我簽署憑證
這兩個範例均假設 /tmp/cell.pem 下具有憑證檔案且 /tmp/cell.key 下具有對應的私密金鑰檔案,且密碼為 kpw。如果這些檔案尚未存在,將會建立這些檔案。
本範例將使用下列預設值來建立新憑證。簽發者名稱設定為
CN=Unknown。此憑證使用預設的 2048 位元金鑰長度,並在建立後一年到期。
[root@cell1 /opt/vmware/vcloud-director/bin]# ./cell-management-tool generate-certs --cert /tmp/cell.pem --key /tmp/cell.key --key-password kpw New certificate created and written to /tmp/cell.pem New private key created and written to /tmp/cell.key
此範例為金鑰大小與簽發者名稱指定自訂值。簽發者名稱設定為
CN=Test, L=London, C=GB。HTTPS 連線的新憑證包含一個 4096 位元的金鑰,會在建立後 90 天到期。
[root@cell1 /opt/vmware/vcloud-director/bin]# ./cell-management-tool generate-certs --cert /tmp/cell.pem --key /tmp/cell.key --key-password kpw -i "CN=Test, L=London, C=GB" -s 4096 -x 90 New certificate created and written to /tmp/cell.pem New private key created and written to /tmp/cell.key
重要: 憑證和私密金鑰檔案及其儲存目錄必須可供使用者
vcloud.vcloud 讀取。
VMware Cloud Director 安裝程式會建立此使用者和群組。
