HTTPS エンドポイントの自己署名証明書の生成

セル管理ツールの generate-certs コマンドを使用して、HTTPS エンドポイントの自己署名付き SSL 証明書を生成します。

各 VMware Cloud Director サーバグループは、HTTPS サービス用のエンドポイントをサポートしている必要があります。VMware Cloud Director 10.4 以降では、コンソールプロキシトラフィック通信と HTTPS 通信はデフォルトの 443 ポートを経由します。HTTPS サービスエンドポイントは、VMware Cloud Director Service Provider Admin Portal、 VMware Cloud Director Tenant Portal、VMware Cloud Director API、および vApp と仮想マシンへの VMRC 接続に関連するコンソールプロキシトラフィックをサポートします。

注： VMware Cloud Director 10.4.1 以降では、コンソールプロキシ機能のレガシー実装はサポートされていません。

VMware Cloud Director 10.4 で専用のコンソールプロキシアクセスポイントでレガシーの実装を使用する場合は、Service Provider Admin Portal の [管理] タブの [機能フラグ] 設定メニューで [LegacyConsoleProxy] 機能を有効にします。[LegacyConsoleProxy] 機能を有効にするには、インストールまたはデプロイ中に前のバージョンでコンソールプロキシを設定し、VMware Cloud Director のアップグレード中に転送する必要があります。機能を有効または無効にした後に、セルを再起動する必要があります。レガシーコンソールプロキシの実装を有効にする場合は、コンソールプロキシに個別の証明書が必要です。このドキュメントの VMware Cloud Director 10.3 バージョンを参照してください。

セル管理ツールの generate-certs コマンドにより、Linux 上での VMware Cloud Director 用の自己署名付き SSL 証明書の作成に示す手順が自動化されます。

新しい自己署名 SSL 証明書を生成するには、次の形式でコマンドラインを使用します。

cell-management-tool generate-certs options

表 1. セル管理ツールのオプションと引数、generate-certs サブコマンド
オプション	引数	説明
--help (-h)	なし	このカテゴリで使用可能なコマンドの概要を示します。
--expiration (-x)	`days-until-expiration`	証明書の有効期限が切れるまでの日数です。デフォルトでは 365 です。
--issuer (-i)	`name`=`value` [, `name`=`value`, ...]	証明書発行者の X.509 識別名。デフォルトでは `CN=FQDN` です。`FQDN` はセルの完全修飾ドメイン名です。完全修飾ドメイン名が使用できない場合は、その IP アドレスです。複数の属性と値のペアを指定する場合は、各ペアをカンマで区切り、引数全体を引用符で囲んでください。
--key-size (-s)	`key-size`	整数ビットとして表されるキーペアのサイズです。デフォルトでは 2048 です。NIST Special Publication 800-131A に従い、1,024 未満のキーサイズはサポートされなくなりました。
--key-password	`key-password`	生成されたプライベートキーのパスワード。
--cert	`cert`	生成された、PEM でエンコードされた X.509 証明書ファイルへのパスです。
--key	key	生成された、PEM でエンコードされた PKCS #8 プライベートキーファイルへのパスです。

自己署名付き証明書の作成

これらの両方の例では、証明書ファイル /tmp/cell.pem と、パスワードが kpw の対応するプライベートキーファイル /tmp/cell.key を想定しています。これらのファイルはない場合に作成されます。

この例では、デフォルト値を使用して新しい証明書を作成します。発行者名は CN=Unknown に設定されています。証明書はキー長にデフォルトの 2048 ビットを使用し、作成後 1 年で期限切れになります。

[root@cell1 /opt/vmware/vcloud-director/bin]# ./cell-management-tool generate-certs --cert /tmp/cell.pem --key /tmp/cell.key --key-password kpw
New certificate created and written to /tmp/cell.pem
New private key created and written to /tmp/cell.key

この例ではキーサイズと発行者名にカスタムの値を指定しています。発行者名は CN=Test, L=London, C=GB に設定されています。HTTPS 接続の新しい証明書のキー長は 4,096 ビットで、作成後 90 日で期限切れになります。

[root@cell1 /opt/vmware/vcloud-director/bin]# ./cell-management-tool generate-certs --cert /tmp/cell.pem --key /tmp/cell.key --key-password kpw -i "CN=Test, L=London, C=GB" -s 4096 -x 90
New certificate created and written to /tmp/cell.pem
New private key created and written to /tmp/cell.key

重要：証明書ファイルとプライベートキーファイル、およびこれらが格納されているディレクトリは、ユーザー vcloud.vcloud から読み取り可能である必要があります。 VMware Cloud Director インストーラにより、このユーザーとグループが作成されます。