Requisitos previos:
- Tener un CA Root en la organización
- Acceso vCloud director via ssh (celdas)
- Credenciales root vCloud Director
- Acceso Registro DNS de publicación vCloud Director.
- Familiarícese con el comando keytool. Utilice keytool para importar certificados SSL firmados por una entidad de certificación en el dispositivo de VMware Cloud Director. VMware Cloud Director coloca una copia de keytool en opt/vmware/vcloud-director/jre/bin/keytool.
Diagrama de la arquitectura de instalación de Linux de VMware Cloud Director
Importante: El dispositivo de VMware Cloud Director comparte la misma dirección IP o nombre de host en los servicios HTTPS y de proxy de consola. Por eso, los comandos de creación de CSR deben especificar los mismos DNS y direcciones IP para el argumento de extensión de nombre alternativo del firmante (Subject Alternative Name, SAN).
- La password utilizada para este proposito es password , ud debe crear una credenical que cumpla con su politicas d euso y gestion de credenciales.
- Asegure de estar conectado a la celda via SSH
- Asegurese de estar en la siguiente ruta opt/vmware/vcloud-director/jre/bin/
- Ejecute el comando para hacer una copia de respaldo del archivo certificates.ks existente
cp /opt/vmware/vcloud-director/certificates.ks /root/certificates.ks.original
- Ejecute el comando para crear pares de claves pública y privada para los servicios HTTPS y de proxy de consola.
/opt/vmware/vcloud-director/bin/cell-management-tool generate-certs -j -p -o /opt/vmware/vcloud-director/certificates.ks -w password
- Cree solicitudes de firma del certificado (Certificate Signing Request, CSR) para los servicios HTTPS y de proxy de consola.
- Cree una solicitud de firma del certificado en el archivo http.csr
keytool -keystore certificates.ks -storetype PKCS12 -storepass password -certreq -alias http -file http.csr -ext «san=dns:vcd.example.com,dns:vcd,ip:192.168.1.5»
- Cree una solicitud de firma del certificado en el archivo consoleproxy.csr
keytool -keystore certificates.ks -storetype PKCS12 -storepass password -certreq -alias consoleproxy -file consoleproxy.csr -ext «san=dns:vcd.example.com,dns:vcd,ip:192.168.1.5 «
- Envíe las solicitudes de firma del certificado a la entidad de certificación
Copiar los dos archivos http.crs y consoleproxy.csr via winscp u otro mecanismo a la entidad certificadora CA Root
Si la autoridad de certificación le exige especificar un tipo de servidor web, utilice Jakarta Tomcat.
Obtiene los certificados firmados por una entidad de certificación.
- Connectese al CA Root (para este caso hemos utilizado un CA Root de Microsoft)
- Click en request a certificate
- Click en advance certificate request
- Abra el archivo http.csr, copie y pegue el contenido en el cuadro de texto (base 64 …)
- Click en submit
- Descargue el archivo download certifícate
- Repita los paso para ambos archivos http.csr y proxyconsole.csr
- Copie y descargue el archivo del root CA
- Ahora ud tendrá tres archivos, el http.cer, proxyconsole.cer y root.cer
- .Copie los los 3 archivos a la siguiente ruta opt/vmware/vcloud-director/jre/bin
- Import the signed certificates into the PKCS12 keystore
- Import the Certificate Authority’s root certificate from the root.cer file to the certificates.ks keystore file.
- keytool -import -storetype PKCS12 -storepass keystore_password -keystore certificates.ks -alias root -file root_certificate_file
- Import the HTTPS service certificate
- keytool -import -storetype PKCS12 -storepass keystore_password -keystore certificates.ks -alias http -file http_certificate_file
- Import the console proxy service certificate
- keytool -import -storetype PKCS12 -storepass keystore_password -keystore certificates.ks -alias consoleproxy -file console_proxy_certificate_file
- To check if the certificates are imported to the PKCS12 keystore, run the command
to list the contents of the keystore file.
- Service vmware-vcd restart
- Repeat this procedure on all VMware Cloud Director servers or cells in the server group.