署名付きワイルドカード証明書を使用して、VMware Cloud Director アプライアンスをデプロイできます。これらの証明書を使用すると、証明書にリストされているドメイン名のサブドメインであるサーバを、数に制限なく保護できます。バージョン 10.4 の手順には、コンソール プロキシの設定が含まれます。

VMware Cloud Director アプライアンス 10.4.1 以降をデプロイする場合は、HTTPS 通信用の署名付きワイルドカード証明書を使用した VMware Cloud Director アプライアンス 10.4.1 以降のデプロイを参照してください。

デフォルトでは、VMware Cloud Director アプライアンスをデプロイすると、VMware Cloud Director は自己署名証明書を生成し、それらを使用して HTTPS 通信用の VMware Cloud Director セルを構成します。

VMware Cloud Director 10.4 以降では、コンソール プロキシ トラフィック通信と HTTPS 通信の両方がデフォルトの 443 ポートを経由します。コンソール プロキシ用の個別の証明書は必要ありません。

注: VMware Cloud Director 10.4.1 以降では、コンソール プロキシ機能のレガシー実装はサポートされていません。

プライマリ アプライアンスを正常にデプロイすると、アプライアンス構成ロジックによって、プライマリ アプライアンスから共通の NFS 共有転送サービス ストレージ (/opt/vmware/vcloud-director/data/transfer) に responses.properties ファイルがコピーされます。この VMware Cloud Director サーバ グループにデプロイされた他のアプライアンスは、このファイルを使用して自動的に設定されます。responses.properties ファイルには、SSL 証明書とプライベート キーへのパスが含まれています。これには、自動生成された自己署名証明書 user.certificate.path、プライベート キー user.key.path、コンソール プロキシ証明書 user.consoleproxy.certificate.path、およびコンソール プロキシ プライベート キー user.consoleproxy.key.path が含まれます。デフォルトでは、これらのパスは各アプライアンスに対してローカルな PEM ファイルへのパスです。

注: 証明書に使用するキー パスワードは、すべての アプライアンスをデプロイする際に使用した最初の root パスワードと一致する必要があります。

プライマリ アプライアンスをデプロイした後で、署名付き証明書を使用するように再構成できます。署名付き証明書の作成の詳細については、VMware Cloud Director アプライアンス 10.4.1 以降の CA 署名付き SSL 証明書の作成とインポートを参照してください。

プライマリ VMware Cloud Director アプライアンスで使用する署名付き証明書が署名付きワイルドカード証明書である場合、これらの証明書は VMware Cloud Director サーバ グループ内の他のすべてのアプライアンス、つまりスタンバイ セルと VMware Cloud Director アプリケーション セルに適用できます。HTTPS 通信およびコンソール プロキシ通信用の署名付きワイルドカード証明書を使用したアプライアンスのデプロイを行って、追加のセルに署名付きワイルドカード SSL 証明書を設定できます。

前提条件

これが環境のニーズに関連する手順であることを確認するには、VMware Cloud Director アプライアンスの SSL 証明書の作成と管理について理解しておく必要があります。

手順

  1. user.http.pemuser.http.keyuser.consoleproxy.pemuser.consoleproxy.key ファイルをプライマリ アプライアンスから /opt/vmware/vcloud-director/data/transfer/ にある転送共有にコピーします。
  2. 証明書ファイルに関する所有者およびグループの権限を vcloud に変更します。
    chown vcloud.vcloud /opt/vmware/vcloud-director/data/transfer/user.http.pem
    chown vcloud.vcloud /opt/vmware/vcloud-director/data/transfer/user.http.key
    chown vcloud.vcloud /opt/vmware/vcloud-director/data/transfer/user.consoleproxy.pem
    chown vcloud.vcloud /opt/vmware/vcloud-director/data/transfer/user.consoleproxy.key
  3. 証明書ファイルの所有者に読み取りおよび書き込み権限があることを確認します。
    chmod 0750 /opt/vmware/vcloud-director/data/transfer/user.http.pem
    chmod 0750 /opt/vmware/vcloud-director/data/transfer/user.http.key
    chmod 0750 /opt/vmware/vcloud-director/data/transfer/user.consoleproxy.pem
    chmod 0750 /opt/vmware/vcloud-director/data/transfer/user.consoleproxy.key
  4. プライマリ アプライアンスでコマンドを実行して、新しい署名付き証明書を VMware Cloud Director インスタンスにインポートします。

    このコマンドが転送共有中の responses.properties ファイルを更新し、user.certificate.pathuser.key.pathuser.consoleproxy.certificate.pathuser.consoleproxy.key.path 変数が転送共有中の証明書ファイルを参照するように変更します。

    /opt/vmware/vcloud-director/bin/cell-management-tool certificates -j --cert /opt/vmware/vcloud-director/data/transfer/user.http.pem --key /opt/vmware/vcloud-director/data/transfer/user.http.key --key-password root-password
    /opt/vmware/vcloud-director/bin/cell-management-tool certificates -p --cert /opt/vmware/vcloud-director/data/transfer/user.consoleproxy.pem --key /opt/vmware/vcloud-director/data/transfer/user.consoleproxy.key --key-password root-password
  5. 新しい署名付き証明書を有効にするには、プライマリ アプライアンスで vmware-vcd サービスを再起動します。
    1. コマンドを実行してサービスを停止します。
      /opt/vmware/vcloud-director/bin/cell-management-tool cell -i $(service vmware-vcd pid cell) -s
    2. コマンドを実行してサービスを開始します。
      systemctl start vmware-vcd
  6. キーのパスワードと一致する初期 root パスワードを使用して、スタンバイ セル アプライアンスとアプリケーション セル アプライアンスをデプロイします。

結果

新しくデプロイされたアプライアンスのうち、同じ NFS 共有転送サービス ストレージを使用するものはすべて、プライマリ アプライアンスで使用されるものと同じ署名付きワイルドカード SSL 証明書を使用して設定されます。