信頼された CA が署名した TLS/SSL サーバ証明書を Access Point アプライアンスに保存するには、証明書を適切な形式に変換し、PowerShell スクリプトまたは Access Point REST API を使用して証明書を構成する必要があります。

本番環境では、デフォルト証明書をできるだけ早く置き換えることを強くお勧めします。 Access Point アプライアンスのデプロイ時に生成されるデフォルトの TLS/SSL サーバ証明書は、信頼された認証局によって署名されていません。
重要: : 信頼された CA によって署名された証明書を、その有効期限が切れる前に定期的に(たとえば、2 年ごとに)置換する場合も、この手順を使用します。

この手順では、REST API を使用して証明書を置き換える方法について説明します。または、https://communities.vmware.com/docs/DOC-30835のブログ記事「Using PowerShell to Deploy VMware Access Point」に添付されている PowerShell スクリプトを使用することで、より簡単に行える場合もあります。指定した Access Point アプライアンスがすでにデプロイされている場合、スクリプトを再度実行するとアプライアンスがパワーオフされ削除されて、指定した現在の設定で再デプロイされます。

前提条件

  • 有効な TLS/SSL サーバ証明書とその秘密鍵がまだない場合は、認証局から新しい署名証明書を取得します。証明書を取得するために証明書署名要求 (CSR) を生成するときは、秘密鍵も生成されることを確認します。サーバの証明書を生成するときは、1024 未満の KeyLength 値を使用しないでください。

    CSR を生成するには、クライアント デバイスが Access Point アプライアンスに接続する際に使用する完全修飾ドメイン名 (FQDN) と、組織単位、組織、市区町村、都道府県、国を理解して、サブジェクト名を作成する必要があります。

  • 証明書を PEM 形式のファイルに変換した後、.pem ファイルを 1 行形式に変換します。証明書ファイルの 1 行 PEM 形式への変換を参照してください。
  • Access Point REST API について理解しておきます。この API の仕様は、Access Point がインストールされている仮想マシンの次の URL で使用できます:https://access-point-appliance.example.com:9443/rest/swagger.yaml

手順

  1. 証明書を Access Point アプライアンスに送信するための JSON 要求を作成します。
    {
      "privateKeyPem": "string",
      "certChainPem": "string"
    }

    この例で、string 値は前提条件で説明したように作成した JSON の 1 行 PEM 値です。

  2. JSON 要求を使用して Access Point REST API を起動し、証明書と鍵を Access Point アプライアンスに保存するには、curlpostman などの REST クライアントを使用します。

    次の例では curl コマンドを使用します。この例では、access-point-appliance.example.comAccess Point アプライアンスの完全修飾ドメイン名で、cert.json が、前の手順で作成した JSON 要求です。

    curl -k -d @- -u 'admin' -H "Content-Type: application/json" -X PUT https://access-point-appliance.example.com:9443/rest/v1/config/certs/ssl < ~/cert.json

次のタスク

証明書を署名した CA が不明な場合は、ルート証明書および中間証明書を信頼するようにクライアントを構成します。