独自のプライベート キーと CA 署名付き証明書ファイルがある場合は、それらを VMware Cloud Director 環境にインポートすると、SSL 通信での信頼レベルが最高になり、クラウド インフラストラクチャ内の接続を保護することができます。
VMware Cloud Director 10.4 以降では、コンソール プロキシ トラフィック通信と HTTPS 通信の両方がデフォルトの 443 ポートを経由します。コンソール プロキシ用の個別の証明書は必要ありません。
専用のコンソール プロキシ アクセス ポイントでレガシーの実装を使用する場合は、Service Provider Admin Portal の [管理] タブの [機能フラグ] 設定メニューで [LegacyConsoleProxy] 機能を有効にします。[LegacyConsoleProxy] 機能を有効にするには、インストールまたはデプロイ中に前のバージョンでコンソール プロキシを設定し、VMware Cloud Director のアップグレード中に転送する必要があります。機能を有効または無効にした後に、セルを再起動する必要があります。レガシー コンソール プロキシの実装を有効にする場合は、コンソール プロキシに個別の証明書が必要です。
手順
- VMware Cloud Director アプライアンス コンソールに、root として直接ログインするか、SSH クライアントを使用して接続します。
- 既存の証明書ファイルをバックアップするには、次のコマンドを実行します。
cp /opt/vmware/vcloud-director/etc/user.http.pem /opt/vmware/vcloud-director/etc/user.http.pem.original
cp /opt/vmware/vcloud-director/etc/user.http.key /opt/vmware/vcloud-director/etc/user.http.key.original
cp /opt/vmware/vcloud-director/etc/user.consoleproxy.pem /opt/vmware/vcloud-director/etc/user.consoleproxy.pem.original
cp /opt/vmware/vcloud-director/etc/user.consoleproxy.key /opt/vmware/vcloud-director/etc/user.consoleproxy.key.original
- /opt/vmware/vcloud-director/etc/user.http.pem、/opt/vmware/vcloud-director/etc/user.http.key、/opt/vmware/vcloud-director/etc/user.consoleproxy.pem、および /opt/vmware/vcloud-director/etc/user.consoleproxy.key にある、インポートする必要があるキーファイルと証明書ファイルをコピーして、置き換えます。
- 中間証明書がある場合に、ルート CA 署名付き証明書と中間証明書を HTTP 証明書およびコンソール プロキシ証明書に追加するには、次のコマンドを実行します。
cat intermediate-certificate-file-1.cer intermediate-certificate-file-2.cer root-CA-certificate.cer >> /opt/vmware/vcloud-director/etc/user.http.pem
cat intermediate-certificate-file-1.cer intermediate-certificate-file-2.cer root-CA-certificate.cer >> /opt/vmware/vcloud-director/etc/user.consoleproxy.pem
ここで、intermediate-certificate-file-1.cer および intermediate-certificate-file-2.cer は中間証明書の名前、root-CA-certificate.cer はルート CA 署名付き証明書の名前です。
- コマンドを実行して、署名付き証明書を VMware Cloud Director インスタンスにインポートします。
/opt/vmware/vcloud-director/bin/cell-management-tool certificates -j --cert /opt/vmware/vcloud-director/etc/user.http.pem --key /opt/vmware/vcloud-director/etc/user.http.key --key-password imported_key_password
/opt/vmware/vcloud-director/bin/cell-management-tool certificates -p --cert /opt/vmware/vcloud-director/etc/user.consoleproxy.pem --key /opt/vmware/vcloud-director/etc/user.consoleproxy.key --key-password imported_key_password
- CA 署名付き証明書を有効にするには、VMware Cloud Director アプライアンスで
vmware-vcd サービスを再起動します。
- コマンドを実行してサービスを停止します。
/opt/vmware/vcloud-director/bin/cell-management-tool cell -i $(service vmware-vcd pid cell) -s
- コマンドを実行してサービスを開始します。
systemctl start vmware-vcd
