セル管理ツールの generate-certs コマンドを使用して、HTTPS エンドポイントの自己署名付き SSL 証明書を生成します。

VMware Cloud Director サーバ グループは、HTTPS サービス用のエンドポイントをサポートしている必要があります。VMware Cloud Director 10.4 以降では、コンソール プロキシ トラフィック通信と HTTPS 通信はデフォルトの 443 ポートを経由します。HTTPS サービス エンドポイントは、VMware Cloud Director Service Provider Admin Portal VMware Cloud Director Tenant PortalVMware Cloud Director API、および vApp と仮想マシンへの VMRC 接続に関連するコンソール プロキシ トラフィックをサポートします。

注: VMware Cloud Director 10.4.1 以降では、コンソール プロキシ機能のレガシー実装はサポートされていません。

VMware Cloud Director 10.4 で専用のコンソール プロキシ アクセス ポイントでレガシーの実装を使用する場合は、Service Provider Admin Portal[管理] タブの [機能フラグ] 設定メニューで [LegacyConsoleProxy] 機能を有効にします。[LegacyConsoleProxy] 機能を有効にするには、インストールまたはデプロイ中に前のバージョンでコンソール プロキシを設定し、VMware Cloud Director のアップグレード中に転送する必要があります。機能を有効または無効にした後に、セルを再起動する必要があります。レガシー コンソール プロキシの実装を有効にする場合は、コンソール プロキシに個別の証明書が必要です。このドキュメントの VMware Cloud Director 10.3 バージョンを参照してください。

セル管理ツールの generate-certs コマンドにより、Linux 上での VMware Cloud Director 用の自己署名付き SSL 証明書の作成に示す手順が自動化されます。

新しい自己署名 SSL 証明書を生成するには、次の形式でコマンドラインを使用します。
cell-management-tool generate-certs options
表 1. セル管理ツールのオプションと引数、generate-certs サブコマンド
オプション 引数 説明
--help (-h) なし このカテゴリで使用可能なコマンドの概要を示します。
--expiration (-x) days-until-expiration 証明書の有効期限が切れるまでの日数です。デフォルトでは 365 です。
--issuer (-i) name=value [, name=value, ...] 証明書発行者の X.509 識別名。デフォルトでは CN=FQDN です。FQDN はセルの完全修飾ドメイン名です。完全修飾ドメイン名が使用できない場合は、その IP アドレスです。複数の属性と値のペアを指定する場合は、各ペアをカンマで区切り、引数全体を引用符で囲んでください。
--key-size (-s) key-size 整数ビットとして表されるキー ペアのサイズです。デフォルトでは 2048 です。NIST Special Publication 800-131A に従い、1,024 未満のキー サイズはサポートされなくなりました。
--key-password key-password 生成されたプライベート キーのパスワード。
--cert cert 生成された、PEM でエンコードされた X.509 証明書ファイルへのパスです。
--key key 生成された、PEM でエンコードされた PKCS #8 プライベート キー ファイルへのパスです。

自己署名付き証明書の作成

これらの両方の例では、証明書ファイル /tmp/cell.pem と、パスワードが kpw の対応するプライベート キー ファイル /tmp/cell.key を想定しています。これらのファイルはない場合に作成されます。

この例では、デフォルト値を使用して新しい証明書を作成します。発行者名は CN=Unknown に設定されています。証明書はキー長にデフォルトの 2048 ビットを使用し、作成後 1 年で期限切れになります。
[root@cell1 /opt/vmware/vcloud-director/bin]# ./cell-management-tool generate-certs --cert /tmp/cell.pem --key /tmp/cell.key --key-password kpw
New certificate created and written to /tmp/cell.pem
New private key created and written to /tmp/cell.key
この例ではキー サイズと発行者名にカスタムの値を指定しています。発行者名は CN=Test, L=London, C=GB に設定されています。HTTPS 接続の新しい証明書のキー長は 4,096 ビットで、作成後 90 日で期限切れになります。
[root@cell1 /opt/vmware/vcloud-director/bin]# ./cell-management-tool generate-certs --cert /tmp/cell.pem --key /tmp/cell.key --key-password kpw -i "CN=Test, L=London, C=GB" -s 4096 -x 90
New certificate created and written to /tmp/cell.pem
New private key created and written to /tmp/cell.key
重要: 証明書ファイルとプライベート キー ファイル、およびこれらが格納されているディレクトリは、ユーザー vcloud.vcloud から読み取り可能である必要があります。 VMware Cloud Director インストーラにより、このユーザーとグループが作成されます。