VMware Cloud Director 環境内の NSX Data Center for vSphere ソフトウェアは、Edge ゲートウェイに設定した SSL VPN-Plus および IPsec VPN トンネルで Secure Sockets Layer (SSL) 証明書を使用する機能を提供します。

VMware Cloud Director 環境の Edge ゲートウェイでは、自己署名証明書、認証局 (CA) 署名付き証明書、および CA によって生成、署名された証明書がサポートされます。証明書署名リクエスト (CSR) の生成、証明書のインポート、インポートした証明書の管理、証明書失効リスト (CRL) の作成を実行できます。

組織仮想データセンターでの証明書の使用について

VMware Cloud Director 組織仮想データセンターの以下のネットワーク領域について、証明書を管理できます。

  • 組織仮想データセンター ネットワークとリモート ネットワークの間の IPsec VPN トンネル
  • プライベート ネットワークのリモート ユーザーと組織仮想データセンター内の Web リソースの間の SSL VPN-Plus 接続
  • 2 つの NSX Data Center for vSphere Edge ゲートウェイの間の L2 VPN トンネル
  • 組織仮想データセンターでロード バランシングが構成されている仮想サーバおよびプール サーバ

クライアント証明書の使用方法

CAI コマンドまたは REST 呼び出しを通じてクライアント証明書を作成できます。その後、この証明書をリモート ユーザーに配布し、リモート ユーザーが証明書を各自の Web ブラウザにインストールできます。

クライアント証明書の導入の主なメリットは、各リモート ユーザーに関するリファレンス クライアント証明書を保存し、リモート ユーザーが提示するクライアント証明書に照らして確認できるという点にあります。特定のユーザーからの今後の接続を防ぐために、セキュリティ サーバのクライアント証明書のリストからリファレンス証明書を削除することができます。証明書を削除すると、そのユーザーからの接続が拒否されます。

Edge Gateway の証明書署名リクエストの生成

認証局 (CA) に署名付き証明書を要求するか、自己署名証明書を作成するには、Edge Gateway の証明書署名リクエスト (CSR) を生成しておく必要があります。

CSR は、SSL 証明書を必要とする NSX Edge Gateway で生成する必要があるエンコードされたファイルです。CSR を使用すると、会社名とドメイン名を識別する情報とともにパブリック キーを送信する方法が標準化されます。

Edge Gateway に保存しておく必要がある、一致するプライベート キーのファイルを使用して CSR を生成します。CSR には、一致するパブリック キーと他の情報(組織の名前、場所、ドメイン名など)が含まれます。

手順

  1. Edge Gateway サービスを開きます。
    1. 上部ナビゲーション バーで [ネットワーク ]をクリックし、[Edge Gateway] をクリックします。
    2. 編集する Edge Gateway を選択し、[サービス] をクリックします。
  2. [証明書] タブをクリックします。
  3. [証明書] タブで [CSR] をクリックします。
  4. CSR の次のオプションを構成します。
    オプション 説明
    コモン ネーム 使用する証明書の対象組織の完全修飾ドメイン名 (FQDN) を入力します(www.example.com など)。

    コモン ネームに http:// または https:// のプリフィックスを含めないでください。

    組織単位 このフィールドは、この証明書が関連付けられている VMware Cloud Director 組織内の部門を区別する場合に使用します。「エンジニアリング」や「販売」などを入力します。
    組織名 どの名前で会社が法的に登録されているかを入力します。

    記載する組織は、証明書要求内のドメイン名の法的登録者でなければなりません。

    地域 会社が法的に登録されている市または地域を入力します。
    都道府県名 会社が法的に登録されている都道府県の完全な名前を入力します(短縮形を使用しない)。
    国コード 会社が法的に登録されている国の名前を入力します。
    プライベート キー アルゴリズム 証明書のキー タイプ(RSA または DSA)を入力します。

    通常は RSA を使用します。キー タイプは、ホスト間の通信の暗号化アルゴリズムを定義します。FIPS モードがオンの場合、RSA キー サイズは 2048 ビット以上にする必要があります。

    注: SSL VPN-Plus は RSA 証明書のみをサポートします。
    キーのサイズ キー サイズをビット数で入力します。

    最小サイズは、2,048 ビットです。

    説明 (オプション)証明書の説明を入力します。
  5. [保持] をクリックします。
    CSR が生成され、CSR タイプの新しいエントリが画面上のリストに追加されます。

結果

画面上のリストで CSR タイプのエントリを選択すると、その CSR の詳細が画面に表示されます。表示された、CSR の PEM 形式のデータをコピーし、それを認証局 (CA) に送信して CA 署名付き証明書を取得できます。

次のタスク

CSR を使用してサービス証明書を作成するには、次の 2 つのオプションのいずれかを使用します。

Edge Gateway 用に生成された CSR に対応する CA 署名付き証明書のインポート

証明書署名リクエスト (CSR) を生成し、その CSR に基づく CA 署名付き証明書を取得した後、CA 署名付き証明書をインポートして Edge Gateway で使用できます。

前提条件

CSR に対応する CA 署名付き証明書を取得していることを確認します。CA 署名付き証明書内のプライベート キーが、選択した CSR のプライベート キーと一致しない場合、インポート プロセスは失敗します。

手順

  1. Edge Gateway サービスを開きます。
    1. 上部ナビゲーション バーで [ネットワーク ]をクリックし、[Edge Gateway] をクリックします。
    2. 編集する Edge Gateway を選択し、[サービス] をクリックします。
  2. [証明書] タブをクリックします。
  3. 画面上のテーブルで、インポートする CA 署名付き証明書の対象の CSR を選択します。
  4. 署名付き証明書をインポートします。
    1. [CSR 用に生成された署名付き証明書] をクリックします。
    2. CA 署名証明書の PEM データを指定します。
      • 参照可能なシステム上の PEM ファイルにデータがある場合は、[アップロード] ボタンをクリックしてそのファイルを参照し、選択します。
      • PEM データをコピーして貼り付けることができる場合、[署名付き証明書 (PEM 形式)] フィールドに PEM データを貼り付けます。

        -----BEGIN CERTIFICATE----------END CERTIFICATE----- の行を含めます。

    3. (オプション) 説明を入力します。
    4. [保持] をクリックします。
      注: CA 署名付き証明書内のプライベート キーが、[証明書] 画面で選択した CSR のプライベート キーと一致しない場合、インポート プロセスは失敗します。

結果

サービス証明書タイプの CA 署名付き証明書が画面上のリストに表示されます。

次のタスク

必要に応じて、SSL VPN-Plus トンネルまたは IPsec VPN トンネルに CA 署名付き証明書を接続します。SSL VPN サーバの設定および グローバル IPsec VPN 設定の指定 を参照してください。

自己署名サービス証明書の構成

Edge Gateway の VPN 関連の機能で使用するために、Edge Gateway に自己署名サービス証明書を構成できます。また、自己署名証明書を作成、インストール、および管理できます。

サービス証明書が [証明書] 画面で使用可能な場合は、Edge Gateway の VPN 関連の設定を行うときにそのサービスの証明書を指定できます。VPN は、その VPN にアクセスするクライアントに指定されたサービス証明書を提示します。

前提条件

1 つ以上の CSR が Edge Gateway の [証明書] 画面で使用可能になっていること。Edge Gateway の証明書署名リクエストの生成を参照してください。

手順

  1. Edge Gateway サービスを開きます。
    1. 上部ナビゲーション バーで [ネットワーク ]をクリックし、[Edge Gateway] をクリックします。
    2. 編集する Edge Gateway を選択し、[サービス] をクリックします。
  2. [証明書] タブをクリックします。
  3. この自己署名証明書に使用する CSR をリストから選択し、[CSR を自己署名] をクリックします。
  4. 自己署名証明書の有効日数を入力します。
  5. [保持] をクリックします。
    システムが自己署名証明書を生成し、[サービス証明書] タイプの新しいエントリを画面上のリストに追加します。

結果

自己署名証明書は、Edge Gateway で使用可能です。画面上のリストで [サービス証明書] タイプのエントリを選択すると、その詳細が画面に表示されます。

SSL 証明書の信頼性検証のための Edge Gateway への CA 証明書の追加

Edge Gateway に CA 証明書を追加すると、認証のために Edge Gateway に提示された SSL 証明書(通常は Edge Gateway への VPN 接続で使用されるクライアント証明書)の信頼性を検証できます。

通常は、会社または組織のルート証明書を CA 証明書として追加します。一般的な用途は、証明書を使用して VPN クライアントを認証する際の SSL VPN です。クライアント証明書は VPN クライアントに配布でき、VPN クライアントからの接続時にそのクライアント証明書が CA 証明書に対して検証されます。

注: CA 証明書を追加する際、通常は関連する証明書失効リスト (CRL) を設定します。CRL は、失効した証明書を提示するクライアントを阻止します。 Edge Gateway への証明書失効リストの追加を参照してください。

前提条件

PEM 形式の CA 証明書のデータがあることを確認します。ユーザー インターフェイスで、CA 証明書の PEM データを貼り付けるか、そのデータが格納されている、ネットワークで利用可能なファイルをローカル システム内で参照することができます。

手順

  1. Edge Gateway サービスを開きます。
    1. 上部ナビゲーション バーで [ネットワーク ]をクリックし、[Edge Gateway] をクリックします。
    2. 編集する Edge Gateway を選択し、[サービス] をクリックします。
  2. [証明書] タブをクリックします。
  3. [CA 証明書] をクリックします。
  4. CA 証明書のデータを提供します。
    • 参照可能なシステム上の PEM ファイルにデータがある場合は、[アップロード] ボタンをクリックしてそのファイルを参照し、選択します。
    • PEM データのコピーと貼り付けが可能な場合は、[CA 証明書 (PEM 形式)] フィールドに貼り付けます。

      -----BEGIN CERTIFICATE----------END CERTIFICATE----- の行を含めます。

  5. (オプション) 説明を入力します。
  6. [保持] をクリックします。

結果

[CA 証明書] タイプの CA 証明書が画面上のリストに表示されます。Edge Gateway の VPN 関連の設定を行うときに、この CA 証明書を指定できるようになりました。

Edge Gateway への証明書失効リストの追加

証明書失効リスト (CRL) は、発行元の証明書機関 (CA) から失効と主張されているデジタル証明書のリストです。これを使用すると、失効した証明書を提示するユーザーを信頼しないように、システムを更新できます。Edge Gateway に CRL を追加できます。

NSX 管理ガイド』の説明のように、CRL には次の項目が含まれます。

  • 失効した証明書と失効の理由
  • 証明書の発行日
  • 証明書を発行した機関
  • 次のリリースの提案日

ある潜在的ユーザーがサーバへのアクセスを試みた場合、サーバは、その特定のユーザーに関する CRL エントリに基づいてアクセスの許可または拒否を行います。

手順

  1. Edge Gateway サービスを開きます。
    1. 上部ナビゲーション バーで [ネットワーク ]をクリックし、[Edge Gateway] をクリックします。
    2. 編集する Edge Gateway を選択し、[サービス] をクリックします。
  2. [証明書] タブをクリックします。
  3. [CRL] をクリックします。
  4. CRL のデータを提供します。
    • 参照可能なシステム上の PEM ファイルにデータがある場合は、[アップロード] ボタンをクリックしてそのファイルを参照し、選択します。
    • PEM データのコピーと貼り付けが可能な場合は、[CRL (PEM 形式)] フィールドに貼り付けます。

      -----BEGIN X509 CRL----------END X509 CRL----- の行を含めます。

  5. (オプション) 説明を入力します。
  6. [保持] をクリックします。

結果

CRL が画面上のリストに表示されます。

Edge Gateway へのサービス証明書の追加

Edge Gateway にサービス証明書を追加すると、これらの証明書が Edge Gateway の VPN 関連設定で使用できるようになります。[証明書] 画面にサービス証明書を追加できます。

前提条件

サービス証明書とそのプライベート キーが PEM 形式になっていることを確認します。ユーザー インターフェイスで、PEM データを貼り付けるか、そのデータを格納する、ローカル システムから利用可能なネットワーク内のファイルを参照できます。

手順

  1. Edge Gateway サービスを開きます。
    1. 上部ナビゲーション バーで [ネットワーク ]をクリックし、[Edge Gateway] をクリックします。
    2. 編集する Edge Gateway を選択し、[サービス] をクリックします。
  2. [証明書] タブをクリックします。
  3. [サービス証明書] をクリックします。
  4. サービス証明書のデータを PEM 形式で入力します。
    • 参照可能なシステム上の PEM ファイルにデータがある場合は、[アップロード] ボタンをクリックしてそのファイルを参照し、選択します。
    • PEM データのコピーと貼り付けが可能な場合は、[サービス証明書 (PEM 形式)] フィールドに貼り付けます。

      -----BEGIN CERTIFICATE----------END CERTIFICATE----- の行を含めます。

  5. 証明書プライベート キーのデータを PEM 形式で入力します。
    FIPS モードがオンの場合、RSA キー サイズは 2048 ビット以上にする必要があります。
    • 参照可能なシステム上の PEM ファイルにデータがある場合は、[アップロード] ボタンをクリックしてそのファイルを参照し、選択します。
    • PEM データのコピーと貼り付けが可能な場合は、[プライベート キー (PEM 形式)] フィールドに貼り付けます。

      -----BEGIN RSA PRIVATE KEY----------END RSA PRIVATE KEY----- の行を含めます。

  6. プライベート キーのパスフレーズを入力して確認します。
  7. (オプション) 説明を入力します。
  8. [保持] をクリックします。

結果

[サービス証明書] タイプの証明書が画面上のリストに表示されます。Edge Gateway の VPN 関連の設定を行うときに、このサービス証明書を選択できるようになりました。