自己署名付き証明書は、信頼への懸念がごく小さい環境で vCloud Director の SSL を構成するのに便利な方法です。

vCloud Director サーバには、JCEKS キーストア ファイルに 2 つの SSL 証明書が必要です。1 つは HTTPS サービス用、もう 1 つはコンソール プロキシ サービス用です。

cell-management-tool を使用して、自己署名付きの SSL 証明書を作成します。インストール ファイルを実行してから設定エージェントを実行するまでの間に、cell-management-tool ユーティリティがセルにインストールされます。サーバ グループの後続のメンバーへの vCloud Director のインストールを参照してください。

重要: これらの例では 2048 ビットのキー サイズを指定しますが、適切なキー サイズを選択する前にインストールのセキュリティ要件を評価する必要があります。NIST Special Publication 800-131A に従い、1024 ビット未満のキー サイズはサポートされなくなりました。

手順

  1. vCloud Director サーバの OS に root として直接ログインするか、SSH クライアントを使用して接続します。
  2. コマンドを実行して、HTTPS サービス用とコンソール プロキシ サービス用のパブリックおよびプライベート キー ペアを作成します。
    /opt/vmware/vcloud-director/bin/cell-management-tool generate-certs -j -p -o certificates.ks -w passwd

    このコマンドを実行すると、パスワードが passwd のキーストアが certificates.ks に作成されるか、更新されます。cell-management-tool は、コマンドのデフォルト値を使用して証明書を作成します。環境の DNS 構成に応じて、発行者の CN は各サービスの IP アドレスまたは FQDN に設定されます。証明書はキー長にデフォルトの 2048 ビットを使用し、作成後 1 年で期限切れになります。

    重要: キーストア ファイルおよびキーストア ファイルが格納されているディレクトリは、ユーザー vcloud.vcloud から読み取り可能である必要があります。 vCloud Director インストーラにより、このユーザーとグループが作成されます。

次のタスク

キーストアのパス名をメモしておきます。構成スクリプトを実行して vCloud Director セルのネットワークとデータベース接続を作成するときに、キーストアのパス名が必要です。ネットワークおよびデータベース接続の構成を参照してください。