HTTPS 通信用の署名付きワイルドカード証明書を使用した VMware Cloud Director アプライアンス 10.4 のデプロイ

署名付きワイルドカード証明書を使用して、VMware Cloud Director アプライアンスをデプロイできます。これらの証明書を使用すると、証明書にリストされているドメイン名のサブドメインであるサーバを、数に制限なく保護できます。バージョン 10.4 の手順には、コンソールプロキシの設定が含まれます。

VMware Cloud Director アプライアンス 10.4.1 以降をデプロイする場合は、HTTPS 通信用の署名付きワイルドカード証明書を使用した VMware Cloud Director アプライアンス 10.4.1 以降のデプロイを参照してください。

デフォルトでは、VMware Cloud Director アプライアンスをデプロイすると、VMware Cloud Director は自己署名証明書を生成し、それらを使用して HTTPS 通信用の VMware Cloud Director セルを構成します。

VMware Cloud Director 10.4 以降では、コンソールプロキシトラフィック通信と HTTPS 通信の両方がデフォルトの 443 ポートを経由します。コンソールプロキシ用の個別の証明書は必要ありません。

注： VMware Cloud Director 10.4.1 以降では、コンソールプロキシ機能のレガシー実装はサポートされていません。

プライマリアプライアンスを正常にデプロイすると、アプライアンス構成ロジックによって、プライマリアプライアンスから共通の NFS 共有転送サービスストレージ (/opt/vmware/vcloud-director/data/transfer) に responses.properties ファイルがコピーされます。この VMware Cloud Director サーバグループにデプロイされた他のアプライアンスは、このファイルを使用して自動的に設定されます。responses.properties ファイルには、SSL 証明書とプライベートキーへのパスが含まれています。これには、自動生成された自己署名証明書 user.certificate.path、プライベートキー user.key.path、コンソールプロキシ証明書 user.consoleproxy.certificate.path、およびコンソールプロキシプライベートキー user.consoleproxy.key.path が含まれます。デフォルトでは、これらのパスは各アプライアンスに対してローカルな PEM ファイルへのパスです。

注：証明書に使用するキーパスワードは、すべてのアプライアンスをデプロイする際に使用した最初の root パスワードと一致する必要があります。

プライマリアプライアンスをデプロイした後で、署名付き証明書を使用するように再構成できます。署名付き証明書の作成の詳細については、VMware Cloud Director アプライアンス 10.4.1 以降の CA 署名付き SSL 証明書の作成とインポートを参照してください。

プライマリ VMware Cloud Director アプライアンスで使用する署名付き証明書が署名付きワイルドカード証明書である場合、これらの証明書は VMware Cloud Director サーバグループ内の他のすべてのアプライアンス、つまりスタンバイセルと VMware Cloud Director アプリケーションセルに適用できます。HTTPS 通信およびコンソールプロキシ通信用の署名付きワイルドカード証明書を使用したアプライアンスのデプロイを行って、追加のセルに署名付きワイルドカード SSL 証明書を設定できます。

前提条件

これが環境のニーズに関連する手順であることを確認するには、VMware Cloud Director アプライアンスの SSL 証明書の作成と管理について理解しておく必要があります。

手順

user.http.pem、user.http.key、user.consoleproxy.pem、user.consoleproxy.key ファイルをプライマリアプライアンスから /opt/vmware/vcloud-director/data/transfer/ にある転送共有にコピーします。

証明書ファイルに関する所有者およびグループの権限を vcloud に変更します。

chown vcloud.vcloud /opt/vmware/vcloud-director/data/transfer/user.http.pem
chown vcloud.vcloud /opt/vmware/vcloud-director/data/transfer/user.http.key
chown vcloud.vcloud /opt/vmware/vcloud-director/data/transfer/user.consoleproxy.pem
chown vcloud.vcloud /opt/vmware/vcloud-director/data/transfer/user.consoleproxy.key

証明書ファイルの所有者に読み取りおよび書き込み権限があることを確認します。

chmod 0750 /opt/vmware/vcloud-director/data/transfer/user.http.pem
chmod 0750 /opt/vmware/vcloud-director/data/transfer/user.http.key
chmod 0750 /opt/vmware/vcloud-director/data/transfer/user.consoleproxy.pem
chmod 0750 /opt/vmware/vcloud-director/data/transfer/user.consoleproxy.key

プライマリアプライアンスでコマンドを実行して、新しい署名付き証明書を VMware Cloud Director インスタンスにインポートします。

このコマンドが転送共有中の responses.properties ファイルを更新し、user.certificate.path、user.key.path、user.consoleproxy.certificate.path、user.consoleproxy.key.path 変数が転送共有中の証明書ファイルを参照するように変更します。

/opt/vmware/vcloud-director/bin/cell-management-tool certificates -j --cert /opt/vmware/vcloud-director/data/transfer/user.http.pem --key /opt/vmware/vcloud-director/data/transfer/user.http.key --key-password root-password
/opt/vmware/vcloud-director/bin/cell-management-tool certificates -p --cert /opt/vmware/vcloud-director/data/transfer/user.consoleproxy.pem --key /opt/vmware/vcloud-director/data/transfer/user.consoleproxy.key --key-password root-password

新しい署名付き証明書を有効にするには、プライマリアプライアンスで vmware-vcd サービスを再起動します。
1. コマンドを実行してサービスを停止します。
```
/opt/vmware/vcloud-director/bin/cell-management-tool cell -i $(service vmware-vcd pid cell) -s
```
2. コマンドを実行してサービスを開始します。
```
systemctl start vmware-vcd
```
キーのパスワードと一致する初期 root パスワードを使用して、スタンバイセルアプライアンスとアプリケーションセルアプライアンスをデプロイします。

結果

新しくデプロイされたアプライアンスのうち、同じ NFS 共有転送サービスストレージを使用するものはすべて、プライマリアプライアンスで使用されるものと同じ署名付きワイルドカード SSL 証明書を使用して設定されます。