認証局 (CA) によって署名された証明書を作成およびインポートすると、SSL 通信の信頼レベルが最大になり、クラウド内の接続を保護することができます。

vCloud Director サーバには、クライアントとサーバ間の通信を保護するために 2 つの SSL 証明書が必要です。各 vCloud Director サーバは、HTTPS 用とコンソール プロキシ通信用の 2 つの異なる SSL エンドポイントをサポートしている必要があります。

vCloud Director アプライアンスでは、これら 2 台のエンドポイントは同じ IP アドレスまたはホスト名を共有しますが、2 つの個別のポート(HTTPS には 443、コンソール プロキシ通信には 8443)を使用します。各エンドポイントには独自の SSL 証明書が必要です。ワイルドカード証明書を使用するなど、両方のエンドポイントに同じ証明書を使用できます。

いずれのエンドポイントの証明書にも、X.500 識別名と X.509 サブジェクトの別名拡張機能が含まれている必要があります。

独自のプライベート キー ファイルと CA 署名付き証明書ファイルがすでに存在する場合は、プライベート キーおよび CA 署名付き SSL 証明書の vCloud Director アプライアンスへのインポートに記載されている手順を実行します。

重要: デプロイ時に、 vCloud Director アプライアンスは、2,048 ビットのキー サイズの自己署名証明書を生成します。適切なキー サイズを選択する前に、インストールのセキュリティ要件を評価する必要があります。NIST Special Publication 800-131A に従い、1024 ビット未満のキー サイズはサポートされなくなりました。

この手順で使用されるキーストア パスワードは root ユーザー パスワードであり、root_passwd として表されます。

前提条件

keytool コマンドについて理解しておきます。keytool を使用して、CA 署名付き SSL 証明書を vCloud Director アプライアンスにインポートします。vCloud Director は、keytool のコピーを /opt/vmware/vcloud-director/jre/bin/keytool に配置します。

手順

  1. vCloud Director アプライアンス コンソールに root として直接ログインするか、SSH で接続します。
  2. 環境のニーズに応じて、次のいずれかのオプションを選択します。
    vCloud Director アプライアンスをデプロイすると、 vCloud Director は、HTTPS サービスとコンソール プロキシ サービス用に 2,048 ビットのキー サイズで自己署名証明書を自動的に生成します。
    • デプロイ時に生成される証明書に認証局で署名する場合は、手順 5 に進みます。
    • キー サイズを大きくするなどのカスタム オプションを使用して新しい証明書を生成する場合は、手順 3 に進みます。
  3. コマンドを実行して、既存の certificates.ks ファイルをバックアップします。
    cp /opt/vmware/vcloud-director/certificates.ks /root/certificates.ks.original
  4. コマンドを実行して、HTTPS サービス用とコンソール プロキシ サービス用のパブリックおよびプライベート キー ペアを作成します。
    /opt/vmware/vcloud-director/bin/cell-management-tool generate-certs -j -p -o /opt/vmware/vcloud-director/certificates.ks -w root_passwd

    このコマンドにより、指定したパスワードを使用して、certificates.ks でキーストアが作成または更新されます。証明書はコマンドのデフォルト値を使用して作成されます。環境の DNS 構成に応じて、発行者のコモン ネーム (CN) は各サービスの IP アドレスまたは FQDN に設定されます。証明書はキー長にデフォルトの 2048 ビットを使用し、作成後 1 年で期限切れになります。

    重要: vCloud Director アプライアンスの構成上の制限により、証明書キーストアに場所 /opt/vmware/vcloud-director/certificates.ks を使用する必要があります。
    注: アプライアンスの root パスワードをキーストア パスワードとして使用します。
  5. HTTPS サービス用とコンソール プロキシ サービス用の証明書署名リクエスト (CSR) を作成します。
    重要: vCloud Director アプライアンスは、HTTPS サービスとコンソール プロキシ サービスの両方で同じ IP アドレスおよびホスト名を共有します。そのため、CSR 作成コマンドでは、Subject Alternative Names (SAN) 拡張引数に同じ DNS および IP アドレスを指定する必要があります。
    1. http.csr ファイル内に証明書署名リクエストを作成します。
      keytool -keystore certificates.ks -storetype JCEKS -storepass root_password -certreq -alias http -file http.csr -ext "san=dns:vcd2.example.com,dns:vcd2,ip:10.100.101.10"
    2. consoleproxy.csr ファイル内に証明書署名リクエストを作成します。
      keytool -keystore certificates.ks -storetype JCEKS -storepass root_password -certreq -alias consoleproxy -file consoleproxy.csr -ext "san=dns:vcd2.example.com,dns:vcd2,ip:10.100.101.10"
  6. 証明書署名リクエストを認証局に送信します。
    証明書発行機関により、Web サーバー タイプを指定するよう求められる場合は、Jakarta Tomcat を使用します。
    CA 署名付き証明書を取得します。
  7. CA 署名付き証明書、CA ルート証明書、および任意の中間証明書を vCloud Director アプライアンスにコピーします。
  8. コマンドを実行して、署名付き証明書を JCEKS キーストアにインポートします。
    1. root.cer ファイルから certificates.ks キーストア ファイルに認証局のルート証明書をインポートします。
      keytool -import -storetype JCEKS -storepass root_password -keystore /opt/vmware/vcloud-director/certificates.ks -alias root -file root_certificate_file
    2. 中間証明書を受信した場合は、この証明書を intermediate.cer ファイルから certificates.ks キーストア ファイルにインポートします。
      keytool -import -storetype JCEKS -storepass root_password -keystore /opt/vmware/vcloud-director/certificates.ks -alias intermediate -file intermediate_certificate_file
    3. HTTPS サービス証明書をインポートします。
      keytool -import -storetype JCEKS -storepass root_password -keystore /opt/vmware/vcloud-director/certificates.ks -alias http -file http_certificate_file
    4. コンソール プロキシ サービスの証明書をインポートします。
      keytool -import -storetype JCEKS -storepass root_password -keystore /opt/vmware/vcloud-director/certificates.ks -alias consoleproxy -file console_proxy_certificate_file
    これらのコマンドは、 certificates.ks ファイルを新しく取得した CA 署名付きバージョンの証明書で上書きします。
  9. 証明書がインポートされているかどうかを確認するには、次のコマンドを実行してキーストア ファイルの内容を一覧表示します。
    keytool -storetype JCEKS -storepass root_password -keystore /opt/vmware/vcloud-director/certificates.ks -list
  10. コマンドを実行して、証明書を vCloud Director インスタンスにインポートします。
    /opt/vmware/vcloud-director/bin/cell-management-tool certificates -j -p --keystore /opt/vmware/vcloud-director/certificates.ks --keystore-password root_password
  11. 新しい署名付き証明書を有効にするには、vCloud Director アプライアンスで vmware-vcd サービスを再起動します。
    service vmware-vcd restart

次のタスク