独自のプライベート キーと CA 署名付き証明書ファイルがある場合は、それらを VMware Cloud Director 環境にインポートすると、SSL 通信での信頼レベルが最高になり、クラウド インフラストラクチャ内の接続を保護することができます。バージョン 10.4 の手順には、コンソール プロキシの設定が含まれます。

プライベート キーと CA 署名付き証明書を VMware Cloud Director アプライアンス 10.4.1 以降にインポートする場合は、プライベート キーおよび CA 署名付き SSL 証明書の VMware Cloud Director アプライアンス 10.4.1 以降へのインポートを参照してください。

VMware Cloud Director 10.4 以降では、コンソール プロキシ トラフィック通信と HTTPS 通信の両方がデフォルトの 443 ポートを経由します。コンソール プロキシ用の個別の証明書は必要ありません。

注: VMware Cloud Director 10.4.1 以降では、コンソール プロキシ機能のレガシー実装はサポートされていません。

VMware Cloud Director 10.4 で、専用のコンソール プロキシ アクセス ポイントでレガシーの実装を使用する場合は、Service Provider Admin Portal[管理] タブの [機能フラグ] 設定メニューで [LegacyConsoleProxy] 機能を有効にします。[LegacyConsoleProxy] 機能を有効にするには、インストールまたはデプロイ中に前のバージョンでコンソール プロキシを設定し、VMware Cloud Director のアップグレード中に転送する必要があります。機能を有効または無効にした後に、セルを再起動する必要があります。レガシー コンソール プロキシの実装を有効にする場合は、コンソール プロキシに個別の証明書が必要です。

前提条件

  • これが環境のニーズに関連する手順であることを確認するには、VMware Cloud Director アプライアンスの SSL 証明書の作成と管理について理解しておく必要があります。

  • 中間証明書、ルート CA 証明書、CA 署名付き HTTPS サービス証明書をアプライアンスにコピーします。
  • レガシー コンソール プロキシの実装が有効になっている場合は、このドキュメントの VMware Cloud Director バージョンを参照してください。

手順

  1. VMware Cloud Director アプライアンス コンソールに、root として直接ログインするか、SSH クライアントを使用して接続します。
  2. 既存の証明書ファイルをバックアップします。
    オプション 説明
    VMware Cloud Director 10.2 からアップグレードした環境の場合。
    1. user.http.pem user.http.keyuser.consoleproxy.pemuser.consoleproxy.key の各プロパティを使用し、/opt/vmware/vcloud-director/etc/global.properties から既存の http および consoleproxy 証明書ファイル パスのメモを取ります。
    2. 既存の証明書ファイルをバックアップするには、手順 2a のパスを使用して次のコマンドを実行します。
      cp path_to_the_user.http.pem /opt/vmware/vcloud-director/etc/user.http.pem.original
      cp path_to_the_user.http.key /opt/vmware/vcloud-director/etc/user.http.key.original
      cp path_to_the_user.consoleproxy.pem /opt/vmware/vcloud-director/etc/user.consoleproxy.pem.original
      cp path_to_the_user.consoleproxy.key /opt/vmware/vcloud-director/etc/user.consoleproxy.key.original
    VMware Cloud Director 10.3 からアップグレードした環境か、新しい環境の場合。 既存の証明書ファイルをバックアップするには、次のコマンドを実行します。
    cp /opt/vmware/vcloud-director/etc/user.http.pem /opt/vmware/vcloud-director/etc/user.http.pem.original
    cp /opt/vmware/vcloud-director/etc/user.http.key /opt/vmware/vcloud-director/etc/user.http.key.original
    cp /opt/vmware/vcloud-director/etc/user.consoleproxy.pem /opt/vmware/vcloud-director/etc/user.consoleproxy.pem.original
    cp /opt/vmware/vcloud-director/etc/user.consoleproxy.key /opt/vmware/vcloud-director/etc/user.consoleproxy.key.original
  3. /opt/vmware/vcloud-director/etc/user.http.pem/opt/vmware/vcloud-director/etc/user.http.key/opt/vmware/vcloud-director/etc/user.consoleproxy.pem、および /opt/vmware/vcloud-director/etc/user.consoleproxy.key にある、インポートする必要があるキーファイルと証明書ファイルをコピーして、置き換えます。
  4. 中間証明書がある場合に、ルート CA 署名付き証明書と中間証明書を HTTP 証明書およびコンソール プロキシ証明書に追加するには、次のコマンドを実行します。
    cat intermediate-certificate-file-1.cer intermediate-certificate-file-2.cer root-CA-certificate.cer >> /opt/vmware/vcloud-director/etc/user.http.pem
    
    cat intermediate-certificate-file-1.cer intermediate-certificate-file-2.cer root-CA-certificate.cer >> /opt/vmware/vcloud-director/etc/user.consoleproxy.pem

    ここで、intermediate-certificate-file-1.cer および intermediate-certificate-file-2.cer は中間証明書の名前、root-CA-certificate.cer はルート CA 署名付き証明書の名前です。

  5. コマンドを実行して、署名付き証明書を VMware Cloud Director インスタンスにインポートします。
    /opt/vmware/vcloud-director/bin/cell-management-tool certificates -j --cert /opt/vmware/vcloud-director/etc/user.http.pem --key /opt/vmware/vcloud-director/etc/user.http.key --key-password imported_key_password
    /opt/vmware/vcloud-director/bin/cell-management-tool certificates -p --cert /opt/vmware/vcloud-director/etc/user.consoleproxy.pem --key /opt/vmware/vcloud-director/etc/user.consoleproxy.key --key-password imported_key_password
  6. CA 署名付き証明書を有効にするには、VMware Cloud Director アプライアンスで vmware-vcd サービスを再起動します。
    1. コマンドを実行してサービスを停止します。
      /opt/vmware/vcloud-director/bin/cell-management-tool cell -i $(service vmware-vcd pid cell) -s
    2. コマンドを実行してサービスを開始します。
      systemctl start vmware-vcd

次のタスク