Linux での VMware Cloud Director 用 CA 署名付き SSL 証明書の作成およびインポート

CA 署名付き証明書を作成およびインポートすると、SSL 通信の信頼レベルが最大になり、クラウドインフラストラクチャ内の接続を保護することができます。

VMware Cloud Director 10.4 以降では、コンソールプロキシトラフィック通信と HTTPS 通信の両方がデフォルトの 443 ポートを経由します。コンソールプロキシ用の個別の証明書は必要ありません。

注： VMware Cloud Director 10.4.1 以降では、コンソールプロキシ機能のレガシー実装はサポートされていません。

VMware Cloud Director 10.4 で専用のコンソールプロキシアクセスポイントでレガシーの実装を使用する場合は、Service Provider Admin Portal の [管理] タブの [機能フラグ] 設定メニューで [LegacyConsoleProxy] 機能を有効にします。[LegacyConsoleProxy] 機能を有効にするには、インストールまたはデプロイ中に前のバージョンでコンソールプロキシを設定し、VMware Cloud Director のアップグレード中に転送する必要があります。機能を有効または無効にした後に、セルを再起動する必要があります。レガシーコンソールプロキシの実装を有効にする場合は、コンソールプロキシに個別の証明書が必要です。このドキュメントの VMware Cloud Director 10.3 バージョンを参照してください。

HTTPS エンドポイントの証明書に、X.500 識別名と X.509 サブジェクト代替名拡張機能が含まれている必要があります。

信頼できる認証局 (CA) で署名された証明書か、自己署名証明書を使用できます。

cell-management-tool を使用して、自己署名付きの SSL 証明書を作成します。インストールファイルを実行してから設定エージェントを実行するまでの間に、cell-management-tool ユーティリティがセルにインストールされます。サーバグループの後続のメンバーへの VMware Cloud Director のインストールを参照してください。

重要：これらの例では 2048 ビットのキーサイズを指定しますが、適切なキーサイズを選択する前にインストールのセキュリティ要件を評価する必要があります。NIST Special Publication 800-131A に従い、1024 ビット未満のキーサイズはサポートされなくなりました。

前提条件

OpenSSL をダウンロードしてインストールします。
generate-certs コマンドで使用可能なオプションの詳細については、HTTPS およびコンソールプロキシエンドポイントの自己署名証明書の生成を参照してください。
certificates コマンドで使用可能なオプションの詳細については、HTTPS エンドポイントの証明書の置き換えを参照してください。

手順

VMware Cloud Director サーバセルの OS に root として直接ログインするか、SSH クライアントを使用して接続します。
環境のニーズに応じて、次のいずれかのオプションを選択します。
- 独自のプライベートキーおよび CA 署名付き証明書ファイルがある場合は、手順 6 に進みます。
- キーサイズを大きくするなどのカスタムオプションを使用して新しい証明書を生成する場合は、手順 3 に進みます。
HTTPSサービスのパブリックキーとプライベートキーのペアを作成するには、次のコマンドを実行します。
```
/opt/vmware/vcloud-director/bin/cell-management-tool generate-certs --cert cert.pem --key cert.key --key-password key_password
```
このコマンドで cert.pem の証明書ファイルと cert.key のプライベートキーファイルが、指定したパスワードで作成または上書きされます。証明書はコマンドのデフォルト値を使用して作成されます。環境の DNS 構成に応じて、発行者の CN は各サービスの IP アドレスまたは FQDN に設定されます。証明書はキー長にデフォルトの 2048 ビットを使用し、作成後 1 年で期限切れになります。

重要：証明書ファイル、プライベートキーファイル、およびこれらが格納されているディレクトリは、ユーザーの vcloud.vcloud によって読み取り可能である必要があります。 VMware Cloud Director およびこれが格納されているディレクトリは、ユーザー vcloud.vcloud によって読み取り可能である必要があります。 VMware Cloud Director インストーラにより、このユーザーとグループが作成されます。

cert.csr ファイル内に証明書署名リクエストを作成します。

openssl req -new -key cert.key -reqexts SAN -config <(cat /etc/ssl/openssl.cnf <(printf "\n[SAN]\nsubjectAltName=DNS:vcd2.example.com,DNS:vcd2,IP:10.100.101.10\n")) -out cert.csr

証明書署名リクエストを認証局に送信します。
証明書発行機関により、Web サーバータイプを指定するよう求められる場合は、Jakarta Tomcat を使用します。

CA 署名付き証明書を取得します。
コマンドを実行して、ルート CA 署名付き証明書と中間証明書を手順 2 で生成した証明書に追加します。
```
cat intermediate-certificate-file-1.cer intermediate-certificate-file-2.cer root-CA-certificate.cer >> cert.pem
```
サーバグループ内のすべての VMware Cloud Director サーバでこの手順を繰り返します。

次のタスク

VMware Cloud Director インスタンスをまだ構成していない場合は、configure スクリプトを実行して証明書を VMware Cloud Director にインポートします。ネットワークおよびデータベース接続の構成を参照してください。

注： cert.pem または cert.key 証明書ファイルを作成したコンピュータが、完全修飾ドメイン名およびそれに関連付けられた IP アドレスのリストを生成したサーバと異なる場合は、ここで cert.pem および cert.key ファイルをそのサーバにコピーします。構成スクリプトを実行するときに、証明書およびプライベートキーのパス名が必要になります。
VMware Cloud Director インスタンスをすでにインストールして構成している場合は、セル管理ツールの certificates コマンドを使用して、証明書をインポートします。HTTPS エンドポイントの証明書の置き換えを参照してください。