Linux での VMware Cloud Director 用 CA 署名付き SSL 証明書の作成およびインポート

CA 署名付き証明書を作成およびインポートすると、SSL 通信の信頼レベルが最大になり、クラウドインフラストラクチャ内の接続を保護することができます。

各 VMware Cloud Director サーバは、HTTPS 用とコンソールプロキシ通信用の 2 つの異なる SSL エンドポイントをサポートしている必要があります。

重要： HTTPS サービスとコンソールプロキシサービスに個別の IP アドレスを使用している場合は、HTTPS サービスの IP アドレスにこの手順を実行してから、コンソールプロキシサービスの IP アドレスに再度同じ手順を実行する必要があります。

2 つのエンドポイントには異なる IP アドレスを割り当てたり、同じ IP アドレスで 2 つの異なるポートを割り当てたりすることも可能です。ワイルドカード証明書を使用するなど、両方のエンドポイントに同じ証明書を使用できます。

いずれのエンドポイントの証明書にも、X.500 識別名と X.509 サブジェクトの別名拡張機能が含まれている必要があります。

信頼できる認証局 (CA) で署名された証明書か、自己署名証明書を使用できます。

cell-management-tool を使用して、自己署名付きの SSL 証明書を作成します。インストールファイルを実行してから設定エージェントを実行するまでの間に、cell-management-tool ユーティリティがセルにインストールされます。サーバグループの後続のメンバーへの VMware Cloud Director のインストールを参照してください。

重要：これらの例では 2048 ビットのキーサイズを指定しますが、適切なキーサイズを選択する前にインストールのセキュリティ要件を評価する必要があります。NIST Special Publication 800-131A に従い、1024 ビット未満のキーサイズはサポートされなくなりました。

前提条件

OpenSSL をダウンロードしてインストールします。
generate-certs コマンドで使用可能なオプションの詳細については、HTTPS およびコンソールプロキシエンドポイントの自己署名証明書の生成を参照してください。
certificates コマンドで使用可能なオプションの詳細については、HTTPS およびコンソールプロキシエンドポイントの証明書の置き換えを参照してください。

手順

VMware Cloud Director サーバセルの OS に root として直接ログインするか、SSH クライアントを使用して接続します。
環境のニーズに応じて、次のいずれかのオプションを選択します。
- 独自のプライベートキーおよび CA 署名付き証明書ファイルがある場合は、手順 6 に進みます。
- キーサイズを大きくするなどのカスタムオプションを使用して新しい証明書を生成する場合は、手順 3 に進みます。
コマンドを実行して、HTTPS サービス用とコンソールプロキシサービス用のパブリックおよびプライベートキーペアを作成します。
```
/opt/vmware/vcloud-director/bin/cell-management-tool generate-certs --cert cert.pem --key cert.key --key-password key_password
```
このコマンドで cert.pem の証明書ファイルと cert.key のプライベートキーファイルが、指定したパスワードで作成または上書きされます。証明書はコマンドのデフォルト値を使用して作成されます。環境の DNS 構成に応じて、発行者の CN は各サービスの IP アドレスまたは FQDN に設定されます。証明書はキー長にデフォルトの 2048 ビットを使用し、作成後 1 年で期限切れになります。

重要：証明書ファイル、プライベートキーファイル、およびこれらが格納されているディレクトリは、ユーザーの vcloud.vcloud によって読み取り可能である必要があります。 VMware Cloud Director およびこれが格納されているディレクトリは、ユーザー vcloud.vcloud によって読み取り可能である必要があります。 VMware Cloud Director インストーラにより、このユーザーとグループが作成されます。

cert.csr ファイル内に証明書署名リクエストを作成します。

openssl req -new -key cert.key -reqexts SAN -config <(cat /etc/ssl/openssl.cnf <(printf "\n[SAN]\nsubjectAltName=DNS:vcd2.example.com,DNS:vcd2,IP:10.100.101.10\n")) -out cert.csr

証明書署名リクエストを認証局に送信します。
証明書発行機関により、Web サーバータイプを指定するよう求められる場合は、Jakarta Tomcat を使用します。

CA 署名付き証明書を取得します。
コマンドを実行して、ルート CA 署名付き証明書と中間証明書を手順 2 で生成した証明書に追加します。
```
cat intermediate-certificate-file-1.cer intermediate-certificate-file-2.cer root-CA-certificate.cer >> cert.pem
```
サーバグループ内のすべての VMware Cloud Director サーバでこの手順を繰り返します。

次のタスク

VMware Cloud Director インスタンスをまだ構成していない場合は、configure スクリプトを実行して証明書を VMware Cloud Director にインポートします。ネットワークおよびデータベース接続の構成を参照してください。

注： cert.pem または cert.key 証明書ファイルを作成したコンピュータが、完全修飾ドメイン名およびそれに関連付けられた IP アドレスのリストを生成したサーバと異なる場合は、ここで cert.pem および cert.key ファイルをそのサーバにコピーします。構成スクリプトを実行するときに、証明書およびプライベートキーのパス名が必要になります。
VMware Cloud Director インスタンスをすでにインストールして構成している場合は、セル管理ツールの certificates コマンドを使用して、証明書をインポートします。HTTPS およびコンソールプロキシエンドポイントの証明書の置き換えを参照してください。