バージョン 10.4 の VMware Cloud Director アプライアンス証明書の更新

VMware Cloud Director アプライアンスをデプロイすると、有効期間が 365 日の自己署名証明書が生成されます。使用環境で期限切れ間近の証明書または期限切れになった証明書がある場合は、新しい自己署名証明書を生成できます。各 VMware Cloud Director セルの証明書を個別に更新する必要があります。バージョン 10.4 の手順には、コンソールプロキシの設定が含まれます。

バージョン 10.4.1 以降の VMware Cloud Director アプライアンス証明書を更新する場合は、バージョン 10.4.1 以降の VMware Cloud Director アプライアンス証明書の更新を参照してください。

VMware Cloud Director 10.4 以降の VMware Cloud Director サービスでは、HTTPS 通信とコンソールプロキシ通信に 1 つの証明書が使用されます。組み込み PostgreSQL データベースおよび VMware Cloud Director アプライアンスの管理ユーザーインターフェイスは、別の SSL 証明書を共有します。

注： VMware Cloud Director 10.4.1 以降では、コンソールプロキシ機能のレガシー実装はサポートされていません。

VMware Cloud Director 10.4 で専用のコンソールプロキシアクセスポイントでレガシーの実装を使用する場合は、Service Provider Admin Portal の [管理] タブの [機能フラグ] 設定メニューで [LegacyConsoleProxy] 機能を有効にします。[LegacyConsoleProxy] 機能を有効にするには、インストールまたはデプロイ中に前のバージョンでコンソールプロキシを設定し、VMware Cloud Director のアップグレード中に転送する必要があります。機能を有効または無効にした後に、セルを再起動する必要があります。レガシーコンソールプロキシの実装を有効にする場合は、コンソールプロキシに個別の証明書が必要です。

すべての自己署名証明書を変更できます。また、VMware Cloud Director の HTTPS 通信およびコンソールプロキシ通信に CA 署名付き証明書を使用している場合、組み込みの PostgreSQL データベースおよびアプライアンス管理ユーザーインターフェイス証明書のみを変更することもできます。CA 署名付き証明書には、既知の公開認証局をルートとする完全な信頼チェーンが含まれています。

前提条件

これが環境のニーズに関連する手順であることを確認するには、VMware Cloud Director アプライアンスの SSL 証明書の作成と管理について理解しておく必要があります。
データベース高可用性クラスタ内のプライマリノードの証明書を更新する場合は、セル管理ツールの opt/vmware/vcloud-director/bin/cell-management-tool cell -m コマンドを実行して、他のすべてのノードをメンテナンスモードにし、データの損失を防ぎます。セルの管理を参照してください。
FIPS モードが有効になっている場合、アプライアンスの root パスワードは 14 文字以上にする必要があります。VMware Cloud Director アプライアンス 10.4.1 以降の root パスワードの変更を参照してください。

手順

VMware Cloud Director アプライアンスの OS に root として直接ログインするか、SSH で接続します。
VMware Cloud Director サービスを停止するには、次のコマンドを実行します。
```
/opt/vmware/vcloud-director/bin/cell-management-tool -u administrator cell --shutdown
```
データベースおよびアプライアンスの管理ユーザーインターフェイス用、または HTTPS およびコンソールプロキシ通信用の新しい自己署名証明書、データベース、およびアプライアンス管理ユーザーインターフェイスを生成します。
- 組み込みの PostgreSQL データベースと VMware Cloud Director アプライアンス管理ユーザーインターフェイス専用の自己署名証明書を生成して、以下を実行します。
```
/opt/vmware/appliance/bin/generate-certificates.sh <root-password> --skip-vcd-certs
```
  このコマンドは、組み込みの PostgreSQL データベースおよびアプライアンス管理ユーザーインターフェイスに新しく生成された証明書が使用されるように自動設定します。PostgreSQL サーバと Nginx サーバが再起動します。
- 組み込みの PostgreSQL データベースおよびアプライアンス管理ユーザーインターフェイスの証明書に加えて、VMware Cloud Director の HTTPS およびコンソールプロキシ通信用の新しい自己署名証明書を生成します。
  1. 次のコマンドを実行します。
```
/opt/vmware/appliance/bin/generate-certificates.sh <root-password>
```
  2. CA 署名付き証明書を使用していない場合は、コマンドを実行して、新しく生成された自己署名証明書を VMware Cloud Director にインポートします。
```
/opt/vmware/vcloud-director/bin/cell-management-tool certificates -j --cert /opt/vmware/vcloud-director/etc/user.http.pem --key /opt/vmware/vcloud-director/etc/user.http.key --key-password root_password
/opt/vmware/vcloud-director/bin/cell-management-tool certificates -p --cert /opt/vmware/vcloud-director/etc/user.consoleproxy.pem --key /opt/vmware/vcloud-director/etc/user.consoleproxy.key --key-password root_password
```
  3. VMware Cloud Director サービスを再起動します。
```
service vmware-vcd start
```
  これらのコマンドは、組み込みの PostgreSQL データベースおよびアプライアンス管理ユーザーインターフェイスに新しく生成された証明書が使用されるように自動設定します。PostgreSQL サーバと Nginx サーバが再起動します。コマンドによって、手順 1 で使用した新しい自己署名 SSL 証明書（ /opt/vmware/vcloud-director/etc/user.http.pem と /opt/vmware/vcloud-director/etc/user.consoleproxy.pem）およびプライベートキー（/opt/vmware/vcloud-director/etc/user.http.key と /opt/vmware/vcloud-director/etc/user.consoleproxy.key）が生成されます。

結果

更新された自己署名証明書が、VMware Cloud Director ユーザーインターフェイスに表示されます。

新しい PostgreSQL 証明書は、次回に appliance-sync 機能が実行されるときに、他の VMware Cloud Director セル上の VMware Cloud Director トラストストアにインポートされます。この操作は、最大で 60 秒かかる可能性があります。

次のタスク

必要に応じて、自己署名証明書を、外部または内部の認証局によって署名された証明書に置き換えることができます。