自己署名付き証明書は、信頼への懸念がごく小さい環境で VMware Cloud Director の SSL を構成するのに便利な方法です。

VMware Cloud Director 10.4 以降では、コンソール プロキシ トラフィック通信と HTTPS 通信の両方がデフォルトの 443 ポートを経由します。コンソール プロキシ用の個別の証明書は必要ありません。

注: VMware Cloud Director 10.4.1 以降では、コンソール プロキシ機能のレガシー実装はサポートされていません。

VMware Cloud Director 10.4 で専用のコンソール プロキシ アクセス ポイントでレガシーの実装を使用する場合は、Service Provider Admin Portal[管理] タブの [機能フラグ] 設定メニューで [LegacyConsoleProxy] 機能を有効にします。[LegacyConsoleProxy] 機能を有効にするには、インストールまたはデプロイ中に前のバージョンでコンソール プロキシを設定し、VMware Cloud Director のアップグレード中に転送する必要があります。機能を有効または無効にした後に、セルを再起動する必要があります。レガシー コンソール プロキシの実装を有効にする場合は、コンソール プロキシに個別の証明書が必要です。このドキュメントの VMware Cloud Director 10.3 バージョンを参照してください。

cell-management-tool を使用して、自己署名付きの SSL 証明書を作成します。インストール ファイルを実行してから設定エージェントを実行するまでの間に、cell-management-tool ユーティリティがセルにインストールされます。サーバ グループの後続のメンバーへの VMware Cloud Director のインストールを参照してください。

重要: これらの例では 2048 ビットのキー サイズを指定しますが、適切なキー サイズを選択する前にインストールのセキュリティ要件を評価する必要があります。NIST Special Publication 800-131A に従い、1024 ビット未満のキー サイズはサポートされなくなりました。

手順

  1. VMware Cloud Director サーバの OS に root として直接ログインするか、SSH クライアントを使用して接続します。
  2. パブリック キーとプライベート キーのペアを作成します。 
    /opt/vmware/vcloud-director/bin/cell-management-tool generate-certs --cert cert.pem --key cert.key --key-password passwd

    コマンドで、プライベート キー cert.key とパスワード passwd が設定された証明書 cert.pem が作成されます。cell-management-tool によって、コマンドのデフォルト値を使用して証明書が作成されます。環境の DNS 構成に応じて、発行者の CN は各サービスの IP アドレスまたは FQDN に設定されます。証明書はキー長にデフォルトの 2048 ビットを使用し、作成後 1 年で期限切れになります。

    重要: 証明書ファイル、プライベート キー ファイル、およびこれらが格納されているディレクトリは、ユーザーの vcloud.vcloud によって読み取り可能である必要があります。 VMware Cloud Director インストーラにより、このユーザーとグループが作成されます。

次のタスク

証明書とプライベート キーのパス名をメモします。これらのパス名は、構成スクリプトを実行して VMware Cloud Director セルのネットワークとデータベース接続を作成する際に必要になります。ネットワークおよびデータベース接続の構成を参照してください。