認証局 (CA) によって署名された証明書を作成およびインポートすると、SSL 通信の信頼レベルが最大になり、クラウド内の接続を保護することができます。
VMware Cloud Director 10.4 の CA 署名付き SSL 証明書を作成してインポートする場合は、VMware Cloud Director 10.4 用 CA 署名付き SSL 証明書の作成およびインポートを参照してください。
重要: デプロイ時に、
VMware Cloud Director アプライアンスは、2,048 ビットのキー サイズの自己署名証明書を生成します。適切なキー サイズを選択する前に、インストールのセキュリティ要件を評価する必要があります。NIST Special Publication 800-131A に従い、1024 ビット未満のキー サイズはサポートされなくなりました。
この手順で使用されるプライベート キー パスワードは root ユーザー パスワードであり、root_password として表されます。
VMware Cloud Director 10.4 以降では、コンソール プロキシ トラフィック通信と HTTPS 通信の両方がデフォルトの 443 ポートを経由します。
注:
VMware Cloud Director 10.4.1 以降では、コンソール プロキシ機能のレガシー実装はサポートされていません。
手順
- VMware Cloud Director アプライアンス コンソールに、root として直接ログインするか、SSH クライアントを使用して接続します。
- 環境のニーズに応じて、次のいずれかのオプションを選択します。
VMware Cloud Director アプライアンスをデプロイすると、
VMware Cloud Director は、HTTPS サービスとコンソール プロキシ サービス用に 2,048 ビットのキー サイズで自己署名証明書を自動的に生成します。
- デプロイ時に生成される証明書に認証局で署名する場合は、手順 5 に進みます。
- キー サイズを大きくするなどのカスタム オプションを使用して新しい証明書を生成する場合は、手順 3 に進みます。
- コマンドを実行して、既存の証明書ファイルをバックアップします。
cp /opt/vmware/vcloud-director/etc/user.http.pem /opt/vmware/vcloud-director/etc/user.http.pem.original
cp /opt/vmware/vcloud-director/etc/user.http.key /opt/vmware/vcloud-director/etc/user.http.key.original
- 次のコマンドを実行して、HTTPS サービス用のパブリック キーとプライベート キーのペアを作成します。
/opt/vmware/vcloud-director/bin/cell-management-tool generate-certs --cert /opt/vmware/vcloud-director/etc/user.http.pem --key /opt/vmware/vcloud-director/etc/user.http.key --key-password root-password
これらのコマンドにより、デフォルト値を使用した証明書ファイルの作成または上書き、および指定したパスワードを使用したプライベート キー ファイルの作成または上書きが行われます。環境の DNS 構成に応じて、発行者のコモン ネーム (CN) は各サービスの IP アドレスまたは FQDN に設定されます。証明書はキー長にデフォルトの 2048 ビットを使用し、作成後 1 年で期限切れになります。
重要:
VMware Cloud Director アプライアンスの構成には制限があるため、HTTPS 証明書ファイルの場所には
/opt/vmware/vcloud-director/etc/user.http.pem と
/opt/vmware/vcloud-director/etc/user.http.key を使用する必要があります。
注: アプライアンスの
root パスワードをキー パスワードとして使用します。
- http.csr ファイル内に、HTTPS サービスの証明書署名要求 (CSR) を作成します。
openssl req -new -key /opt/vmware/vcloud-director/etc/user.http.key -reqexts SAN -config <(cat /etc/ssl/openssl.cnf <(printf "\n[SAN]\nsubjectAltName=DNS:vcd2.example.com,DNS:vcd2,IP:10.100.101.10\n")) -out http.csr
- 証明書署名リクエストを認証局に送信します。
証明書発行機関により、Web サーバー タイプを指定するよう求められる場合は、Jakarta Tomcat を使用します。
CA 署名付き証明書を取得します。
- CA 署名付き証明書、CA ルート証明書、およびすべての中間証明書を VMware Cloud Director アプライアンスにコピーし、コマンドを実行してアプライアンスの既存の
user.http.pem 証明書を CA 署名付きのバージョンで上書きします。
cp ca-signed-http.pem /opt/vmware/vcloud-director/etc/user.http.pem
- ルート CA 署名付き証明書と中間証明書を HTTP 証明書およびコンソール プロキシ証明書に追加するには、次のコマンドを実行します。
cat intermediate-certificate-file-1.cer intermediate-certificate-file-2.cer root-CA-certificate.cer >> /opt/vmware/vcloud-director/etc/user.http.pem
- 証明書を VMware Cloud Director インスタンスにインポートするには、次のコマンドを実行します。
/opt/vmware/vcloud-director/bin/cell-management-tool certificates -j --cert /opt/vmware/vcloud-director/etc/user.http.pem --key /opt/vmware/vcloud-director/etc/user.http.key --key-password root_password
- 新しい署名付き証明書を有効にするには、VMware Cloud Director アプライアンスで
vmware-vcd サービスを再起動します。
- コマンドを実行してサービスを停止します。
/opt/vmware/vcloud-director/bin/cell-management-tool cell -i $(service vmware-vcd pid cell) -s
- コマンドを実行してサービスを開始します。
systemctl start vmware-vcd
