Bei der Einrichtung des vCloud Directors (vCD) ist es notwendig die SSL Zertifikate für die spätere Nutzung einzubinden. In der VMWare Dokumentation wird hierbei der Weg mittels CLI beschrieben, für GUI Liebhaber möchte ich hier einen alternativen Weg darlegen.
Der vCloud Director nutzt für die Verwaltung der Zertifikate einen Java Keystore, welcher sich mittels des Tools JavaKeystore Explorer manuell anlegen lässt . Wichtig ist es hierbei, dass zwei Zertifikate im Keystore hinterlegt werden müssen. Ein Zertifikat dient der Absicherung des Webinterfaces (Alias „http“), das zweite Zertifikat der Absicherung des Konsolen Proxies (Alias „consoleproxy“). Die Nutzung eines Wildcard Zertifikats ist möglich, dieses muss dennoch unter beiden der o.g. Namen im Keystore hinterlegt sein.
Ebenfalls ist es wichtig, dass sowohl der Keystore als auch die einzelenen Keys mit dem gleichen Passwort geschützt werden, da bei der Einbindung des Keystores im vCD nur ein Passwort angegeben werden kann.
Der Weg mittels des Tools ist dabei sehr einfach. Nach dem Starten der Software wird ein neuer Keystore mittels des Buttons „Create new Keystore“ angelegt. Als Typ muss hier „JCEKS“ angegeben werden.
Nun müssen wir den Keystore mit den Zertifikaten befüllen. Da wir bereits ein öffentliches Zertifikat für den Einsatz des vCD besitzen wählen wir im Menü der rechten Maustaste den Punkt „Import Key Pair“ an.
Bei meinen Tests hat sich der Import im PKCS#12 Format bewährt. Im folgenden Dialog muss der Pfad zur Datei sowie das Passwort zur Entschlüsselung des privaten Schlüssels angegeben werden.
War der Import des Schlüsselpaars erfolgreich, so muss nun ein Alias für das Schlüsselpaar vergeben werden.
Wie bereits zu Beginn des Artikels beschrieben ist es notwendig ein Zertifikatspaar für das Webinterface und eins für den Konsolenproxy zu hinterlegen. Die zu vergebenden Namen sind dabei hart im vCD codiert und lauten „http“ und „consoleproxy“.
Im nächsten Schritt wird das Passwort das zur späteren Entschlüsselung des Schlüsselpaares im KeyStore verwendet werden kann angegeben.
Hier nochmals der Hinweis, dass alle Passwörter (Keystore und Passwörter der Schlüsselpaare) identisch sein müssen, da sonst die Einbindung im vCD fehlschlägt.
Zuletzt sollte sichergestellt werden, dass die gesamte Zertifikatskette bis zur Root-CA im Keystore hinterlegt ist. Dies kann mittels eines Rechtsklicks auf das entsprechende Zertifikat und der Auswahl des Menüpunkts „View Details Certificate Chain“ nachgeprüft werden. Ggf. ist es notwendig die Sub-CAs und die Root-CA über den Menüpunkt „Edit Certificate Chain – Append Certificate“ hinzuzufügen. Hierbei muss die Reihenfolge „Zertifikat -> Root-CA“ eingehalten werden.
Der Keystore kann nun gespeichert und auf dem Server unter folgendem Pfad abgelegt und bei dem Einrichtungsvorgang ausgewählt werden.
[root@vcd-1 tmp]# /opt/vmware/vcloud-director/bin/configure
Welcome to the vCloud Director configuration utility.
You will be prompted to enter a number of parameters that are necessary to configure and start the vCloud Director service.
Please indicate which IP address available on this machine should be used for the HTTP service and which IP address should be used for the remote console proxy.
The HTTP service IP address is used for accessing the user interface and the REST API. The remote console proxy IP address is used for all remote console connections and traffic.
Please enter your choice for the HTTP service IP address:
...
Please enter your choice for the remote console proxy IP address:
...
Please enter the path to the Java keystore containing your SSL certificates and private keys: /opt/vmware/vcloud-director/certificates.ks
Please enter the password for the keystore: **********