VMware Cloud Director アプライアンスをデプロイすると、有効期間が 365 日の自己署名証明書が生成されます。使用環境で期限切れ間近の証明書または期限切れになった証明書がある場合は、新しい自己署名証明書を生成できます。各 VMware Cloud Director セルの証明書を個別に更新する必要があります。

VMware Cloud Director アプライアンスは 2 セットの SSL 証明書を使用します。VMware Cloud Director サービスは、HTTPS およびコンソール プロキシの通信用に 1 セットの証明書を使用します。組み込み PostgreSQL データベースおよび VMware Cloud Director アプライアンスの管理ユーザー インターフェイスは、別の SSL 証明書セットを共有します。

自己署名証明書セットは両方とも変更できます。また、VMware Cloud Director の HTTPS 通信およびコンソール プロキシ通信に CA 署名付き証明書を使用している場合、組み込みの PostgreSQL データベースおよびアプライアンス管理ユーザー インターフェイス証明書のみを変更することもできます。CA 署名付き証明書には、既知の公開認証局をルートとする完全な信頼チェーンが含まれています。

前提条件

  • データベース高可用性クラスタ内のプライマリ ノードの証明書を更新する場合は、データの損失を防ぐために、他のすべてのノードをメンテナンス モードにします。セルの管理を参照してください。
  • FIPS モードが有効になっている場合、アプライアンスの root パスワードは 14 文字以上にする必要があります。VMware Cloud Director アプライアンスの root パスワードの変更を参照してください。

手順

  1. VMware Cloud Director アプライアンスの OS に root として直接ログインするか、SSH で接続します。
  2. VMware Cloud Director サービスを停止するには、次のコマンドを実行します。
    /opt/vmware/vcloud-director/bin/cell-management-tool -u administrator cell --shutdown
  3. データベースおよびアプライアンスの管理ユーザー インターフェイス用、または HTTPS およびコンソール プロキシ通信用の新しい自己署名証明書、データベース、およびアプライアンス管理ユーザー インターフェイスを生成します。
    • 組み込みの PostgreSQL データベースと VMware Cloud Director アプライアンス管理ユーザー インターフェイス専用の自己署名証明書を生成して、以下を実行します。
      /opt/vmware/appliance/bin/generate-certificates.sh <root-password> --skip-vcd-certs

      このコマンドは、組み込みの PostgreSQL データベースおよびアプライアンス管理ユーザー インターフェイスに新しく生成された証明書が使用されるように自動設定します。PostgreSQL サーバと Nginx サーバが再起動します。

    • 組み込みの PostgreSQL データベースおよびアプライアンス管理ユーザー インターフェイスの証明書に加えて、VMware Cloud Director の HTTPS およびコンソール プロキシ通信用の新しい自己署名証明書を生成します。
      1. 次のコマンドを実行します。
        /opt/vmware/appliance/bin/generate-certificates.sh <root-password>
      2. CA 署名付き証明書を使用していない場合は、コマンドを実行して、新しく生成された自己署名証明書を VMware Cloud Director にインポートします。
        /opt/vmware/vcloud-director/bin/cell-management-tool certificates -j --cert /opt/vmware/vcloud-director/etc/user.http.pem --key /opt/vmware/vcloud-director/etc/user.http.key --key-password root_password
        /opt/vmware/vcloud-director/bin/cell-management-tool certificates -p --cert /opt/vmware/vcloud-director/etc/user.consoleproxy.pem --key /opt/vmware/vcloud-director/etc/user.consoleproxy.key --key-password root_password
      3. VMware Cloud Director サービスを再起動します。
        service vmware-vcd start

      これらのコマンドは、組み込みの PostgreSQL データベースおよびアプライアンス管理ユーザー インターフェイスに新しく生成された証明書が使用されるように自動設定します。PostgreSQL サーバと Nginx サーバが再起動します。コマンドによって、手順 1 で使用した新しい自己署名 SSL 証明書( /opt/vmware/vcloud-director/etc/user.http.pem/opt/vmware/vcloud-director/etc/user.consoleproxy.pem)およびプライベート キー(/opt/vmware/vcloud-director/etc/user.http.key/opt/vmware/vcloud-director/etc/user.consoleproxy.key)が生成されます。

結果

更新された自己署名証明書が、VMware Cloud Director ユーザー インターフェイスに表示されます。

新しい PostgreSQL 証明書は、次回に appliance-sync 機能が実行されるときに、他の VMware Cloud Director セル上の VMware Cloud Director トラストストアにインポートされます。この操作は、最大で 60 秒かかる可能性があります。

次のタスク

必要に応じて、自己署名証明書を、外部または内部の認証局によって署名された証明書に置き換えることができます。