独自のプライベート キーおよび CA 署名付き証明書ファイルがある場合は、キーストアを vCloud Director 環境にインポートする前に、HTTPS サービスとコンソール プロキシ サービスの両方の証明書とプライベート キーをインポートするキーストア ファイルを作成する必要があります。

前提条件

  • Linux 上の vCloud Director に SSL 証明書を作成する前にを参照してください。
  • keytool コマンドを使用して証明書をインポートできるように、Java バージョン 8 以降のランタイム環境のあるコンピュータにアクセスできることを確認します。vCloud Director インストーラでは keytool のコピーが /opt/vmware/vcloud-director/jre/bin/keytool に置かれますが、この手順は Java ランタイム環境がインストールされていればどのコンピュータでも実行できます。keytool で他のソースから作成された証明書を vCloud Director に使用することはできません。このコマンドラインの例では、keytool がユーザーのパス内にあることを前提としています。
  • keytool コマンドについて理解しておきます。
  • OpenSSL をダウンロードして、インストールします。
  • certificates コマンドで使用可能なオプションの詳細については、HTTP およびコンソール プロキシ エンドポイントの証明書の置き換えを参照してください。

手順

  1. 中間証明書がある場合は、コマンドを実行してルート CA 署名証明書と中間証明書を結合し、証明書チェーンを作成します。
    cat intermediate-certificate-file-1.cer intermediate-certificate-file-2.cer root-CA-certificate.cer > chain.crt
  2. OpenSSL を使用して、HTTPS サービスとコンソール プロキシ サービスの両方のために、プライベート キー、証明書チェーン、それぞれのエイリアスを持つ中間 PKCS12 キーストア ファイルを作成し、各キーストア ファイルのパスワードを指定します。
    1. HTTPS サービス用のキーストア ファイルを作成します。
      openssl pkcs12 -export -in http.crt -inkey http.key -CAfile chain.crt -name http -passout pass:keystore_password -out http.pfx -chain
    2. コンソール プロキシ サービス用のキーストア ファイルを作成します。
      openssl pkcs12 -export -in consoleproxy.crt -inkey consoleproxy.key -CAfile chain.crt -name consoleproxy -passout pass:keystore_password -out consoleproxy.pfx –chain
  3. keytool を使用して、PKCS12 キーストアを JCЕKS キーストアにインポートします。
    1. コマンドを実行して、HTTPS サービス用の PKCS12 キーストアをインポートします。
      keytool -importkeystore -deststorepass keystore_password -destkeystore certificates.ks -deststoretype JCEKS -srckeystore http.pfx -srcstoretype PKCS12 -srcstorepass keystore_password
    2. コマンドを実行して、コンソール プロキシ サービス用の PKCS12 キーストアをインポートします。
      keytool -importkeystore -deststorepass keystore_password -destkeystore certificates.ks -deststoretype JCEKS -srckeystore consoleproxy.pfx -srcstoretype PKCS12 -srcstorepass keystore_password
  4. 証明書が JCEKS キーストアにインポートされているかどうかを確認するには、次のコマンドを実行してキーストア ファイルの内容を一覧表示します。
    keytool -storetype JCEKS -storepass keystore_password -keystore certificates.ks –list
  5. 使用環境内のすべての vCloud Director セルに対してこの手順を繰り返します。

次のタスク

  • vCloud Director インスタンスをまだ構成していない場合は、configure スクリプトを実行して証明書キーストアを vCloud Director にインポートします。ネットワークおよびデータベース接続の構成を参照してください。
    注: certificates.ks キーストア ファイルを作成したコンピュータが、完全修飾ドメイン名とそれに関連付けられた IP アドレスのリストを生成したサーバとは異なる場合は、キーストア ファイルをそのサーバにコピーします。構成スクリプトを実行するときに、キーストアのパス名が必要になります。
  • vCloud Director インスタンスをすでにインストールして構成している場合は、セル管理ツールの certificates コマンドを使用して、証明書キーストアをインポートします。HTTP およびコンソール プロキシ エンドポイントの証明書の置き換えを参照してください。