CA 署名付き証明書を作成およびインポートすると、SSL 通信の信頼レベルが最大になり、クラウド インフラストラクチャ内の接続を保護することができます。

VMware Cloud Director 10.4 以降では、コンソール プロキシ トラフィック通信と HTTPS 通信の両方がデフォルトの 443 ポートを経由します。コンソール プロキシ用の個別の証明書は必要ありません。

注: VMware Cloud Director 10.4.1 以降では、コンソール プロキシ機能のレガシー実装はサポートされていません。

VMware Cloud Director 10.4 で専用のコンソール プロキシ アクセス ポイントでレガシーの実装を使用する場合は、Service Provider Admin Portal[管理] タブの [機能フラグ] 設定メニューで [LegacyConsoleProxy] 機能を有効にします。[LegacyConsoleProxy] 機能を有効にするには、インストールまたはデプロイ中に前のバージョンでコンソール プロキシを設定し、VMware Cloud Director のアップグレード中に転送する必要があります。機能を有効または無効にした後に、セルを再起動する必要があります。レガシー コンソール プロキシの実装を有効にする場合は、コンソール プロキシに個別の証明書が必要です。このドキュメントの VMware Cloud Director 10.3 バージョンを参照してください。

HTTPS エンドポイントの証明書に、X.500 識別名と X.509 サブジェクト代替名拡張機能が含まれている必要があります。

信頼できる認証局 (CA) で署名された証明書か、自己署名証明書を使用できます。

cell-management-tool を使用して、自己署名付きの SSL 証明書を作成します。インストール ファイルを実行してから設定エージェントを実行するまでの間に、cell-management-tool ユーティリティがセルにインストールされます。サーバ グループの後続のメンバーへの VMware Cloud Director のインストールを参照してください。

重要: これらの例では 2048 ビットのキー サイズを指定しますが、適切なキー サイズを選択する前にインストールのセキュリティ要件を評価する必要があります。NIST Special Publication 800-131A に従い、1024 ビット未満のキー サイズはサポートされなくなりました。

前提条件

手順

  1. VMware Cloud Director サーバ セルの OS に root として直接ログインするか、SSH クライアントを使用して接続します。
  2. 環境のニーズに応じて、次のいずれかのオプションを選択します。
    • 独自のプライベート キーおよび CA 署名付き証明書ファイルがある場合は、手順 6 に進みます。
    • キー サイズを大きくするなどのカスタム オプションを使用して新しい証明書を生成する場合は、手順 3 に進みます。
  3. HTTPSサービスのパブリックキーとプライベートキーのペアを作成するには、次のコマンドを実行します。
    /opt/vmware/vcloud-director/bin/cell-management-tool generate-certs --cert cert.pem --key cert.key --key-password key_password

    このコマンドで cert.pem の証明書ファイルと cert.key のプライベート キー ファイルが、指定したパスワードで作成または上書きされます。証明書はコマンドのデフォルト値を使用して作成されます。環境の DNS 構成に応じて、発行者の CN は各サービスの IP アドレスまたは FQDN に設定されます。証明書はキー長にデフォルトの 2048 ビットを使用し、作成後 1 年で期限切れになります。

    重要: 証明書ファイル、プライベート キー ファイル、およびこれらが格納されているディレクトリは、ユーザーの vcloud.vcloud によって読み取り可能である必要があります。 VMware Cloud Director およびこれが格納されているディレクトリは、ユーザー vcloud.vcloud によって読み取り可能である必要があります。 VMware Cloud Director インストーラにより、このユーザーとグループが作成されます。
  4. cert.csr ファイル内に証明書署名リクエストを作成します。
    openssl req -new -key cert.key -reqexts SAN -config <(cat /etc/ssl/openssl.cnf <(printf "\n[SAN]\nsubjectAltName=DNS:vcd2.example.com,DNS:vcd2,IP:10.100.101.10\n")) -out cert.csr
  5. 証明書署名リクエストを認証局に送信します。
    証明書発行機関により、Web サーバー タイプを指定するよう求められる場合は、Jakarta Tomcat を使用します。
    CA 署名付き証明書を取得します。
  6. コマンドを実行して、ルート CA 署名付き証明書と中間証明書を手順 2 で生成した証明書に追加します。
    cat intermediate-certificate-file-1.cer intermediate-certificate-file-2.cer root-CA-certificate.cer >> cert.pem
  7. サーバ グループ内のすべての VMware Cloud Director サーバでこの手順を繰り返します。

次のタスク

  • VMware Cloud Director インスタンスをまだ構成していない場合は、configure スクリプトを実行して証明書を VMware Cloud Director にインポートします。ネットワークおよびデータベース接続の構成を参照してください。
    注: cert.pem または cert.key 証明書ファイルを作成したコンピュータが、完全修飾ドメイン名およびそれに関連付けられた IP アドレスのリストを生成したサーバと異なる場合は、ここで cert.pem および cert.key ファイルをそのサーバにコピーします。構成スクリプトを実行するときに、証明書およびプライベート キーのパス名が必要になります。
  • VMware Cloud Director インスタンスをすでにインストールして構成している場合は、セル管理ツールの certificates コマンドを使用して、証明書をインポートします。HTTPS エンドポイントの証明書の置き換えを参照してください。