VMware Cloud Director アプライアンスをデプロイすると、有効期間が 365 日の自己署名証明書が生成されます。使用環境で期限切れ間近の証明書または期限切れになった証明書がある場合は、新しい自己署名証明書を生成できます。各 VMware Cloud Director セルの証明書を個別に更新する必要があります。バージョン 10.4 の手順には、コンソール プロキシの設定が含まれます。

バージョン 10.4.1 以降の VMware Cloud Director アプライアンス証明書を更新する場合は、バージョン 10.4.1 以降の VMware Cloud Director アプライアンス証明書の更新を参照してください。

VMware Cloud Director 10.4 以降の VMware Cloud Director サービスでは、HTTPS 通信とコンソール プロキシ通信に 1 つの証明書が使用されます。組み込み PostgreSQL データベースおよび VMware Cloud Director アプライアンスの管理ユーザー インターフェイスは、別の SSL 証明書を共有します。

注: VMware Cloud Director 10.4.1 以降では、コンソール プロキシ機能のレガシー実装はサポートされていません。

VMware Cloud Director 10.4 で専用のコンソール プロキシ アクセス ポイントでレガシーの実装を使用する場合は、Service Provider Admin Portal[管理] タブの [機能フラグ] 設定メニューで [LegacyConsoleProxy] 機能を有効にします。[LegacyConsoleProxy] 機能を有効にするには、インストールまたはデプロイ中に前のバージョンでコンソール プロキシを設定し、VMware Cloud Director のアップグレード中に転送する必要があります。機能を有効または無効にした後に、セルを再起動する必要があります。レガシー コンソール プロキシの実装を有効にする場合は、コンソール プロキシに個別の証明書が必要です。

すべての自己署名証明書を変更できます。また、VMware Cloud Director の HTTPS 通信およびコンソール プロキシ通信に CA 署名付き証明書を使用している場合、組み込みの PostgreSQL データベースおよびアプライアンス管理ユーザー インターフェイス証明書のみを変更することもできます。CA 署名付き証明書には、既知の公開認証局をルートとする完全な信頼チェーンが含まれています。

前提条件

手順

  1. VMware Cloud Director アプライアンスの OS に root として直接ログインするか、SSH で接続します。
  2. VMware Cloud Director サービスを停止するには、次のコマンドを実行します。 
    /opt/vmware/vcloud-director/bin/cell-management-tool -u administrator cell --shutdown
  3. データベースおよびアプライアンスの管理ユーザー インターフェイス用、または HTTPS およびコンソール プロキシ通信用の新しい自己署名証明書、データベース、およびアプライアンス管理ユーザー インターフェイスを生成します。
    • 組み込みの PostgreSQL データベースと VMware Cloud Director アプライアンス管理ユーザー インターフェイス専用の自己署名証明書を生成して、以下を実行します。
      /opt/vmware/appliance/bin/generate-certificates.sh <root-password> --skip-vcd-certs

      このコマンドは、組み込みの PostgreSQL データベースおよびアプライアンス管理ユーザー インターフェイスに新しく生成された証明書が使用されるように自動設定します。PostgreSQL サーバと Nginx サーバが再起動します。

    • 組み込みの PostgreSQL データベースおよびアプライアンス管理ユーザー インターフェイスの証明書に加えて、VMware Cloud Director の HTTPS およびコンソール プロキシ通信用の新しい自己署名証明書を生成します。
      1. 次のコマンドを実行します。
        /opt/vmware/appliance/bin/generate-certificates.sh <root-password>
      2. CA 署名付き証明書を使用していない場合は、コマンドを実行して、新しく生成された自己署名証明書を VMware Cloud Director にインポートします。
        /opt/vmware/vcloud-director/bin/cell-management-tool certificates -j --cert /opt/vmware/vcloud-director/etc/user.http.pem --key /opt/vmware/vcloud-director/etc/user.http.key --key-password root_password
/opt/vmware/vcloud-director/bin/cell-management-tool certificates -p --cert /opt/vmware/vcloud-director/etc/user.consoleproxy.pem --key /opt/vmware/vcloud-director/etc/user.consoleproxy.key --key-password root_password
      3. VMware Cloud Director サービスを再起動します。 
        service vmware-vcd start

      これらのコマンドは、組み込みの PostgreSQL データベースおよびアプライアンス管理ユーザー インターフェイスに新しく生成された証明書が使用されるように自動設定します。PostgreSQL サーバと Nginx サーバが再起動します。コマンドによって、手順 1 で使用した新しい自己署名 SSL 証明書( /opt/vmware/vcloud-director/etc/user.http.pem/opt/vmware/vcloud-director/etc/user.consoleproxy.pem)およびプライベート キー(/opt/vmware/vcloud-director/etc/user.http.key/opt/vmware/vcloud-director/etc/user.consoleproxy.key)が生成されます。

結果

更新された自己署名証明書が、VMware Cloud Director ユーザー インターフェイスに表示されます。

新しい PostgreSQL 証明書は、次回に appliance-sync 機能が実行されるときに、他の VMware Cloud Director セル上の VMware Cloud Director トラストストアにインポートされます。この操作は、最大で 60 秒かかる可能性があります。

次のタスク

必要に応じて、自己署名証明書を、外部または内部の認証局によって署名された証明書に置き換えることができます。