認証局 (CA) によって署名された証明書を作成およびインポートすると、SSL 通信の信頼レベルが最大になり、クラウド内の接続を保護することができます。バージョン 10.4 の手順には、コンソール プロキシの設定が含まれます。

VMware Cloud Director 10.4.1 以降の CA 署名付き SSL 証明書を作成してインポートする場合は、VMware Cloud Director アプライアンス 10.4.1 以降の CA 署名付き SSL 証明書の作成とインポートを参照してください。

重要: デプロイ時に、 VMware Cloud Director アプライアンスは、2,048 ビットのキー サイズの自己署名証明書を生成します。適切なキー サイズを選択する前に、インストールのセキュリティ要件を評価する必要があります。NIST Special Publication 800-131A に従い、1024 ビット未満のキー サイズはサポートされなくなりました。

この手順で使用されるプライベート キー パスワードは root ユーザー パスワードであり、root_password として表されます。

VMware Cloud Director 10.4 以降では、コンソール プロキシ トラフィック通信と HTTPS 通信の両方がデフォルトの 443 ポートを経由します。

注: VMware Cloud Director 10.4.1 以降では、コンソール プロキシ機能のレガシー実装はサポートされていません。

VMware Cloud Director 10.4 では、[管理] タブの [機能フラグ] 設定メニューで [LegacyConsoleProxy] 機能を有効にできます。[LegacyConsoleProxy] を有効にする場合、各 VMware Cloud Director セルは、HTTPS 用とコンソール プロキシ通信用の 2 台の異なる SSL エンドポイントをサポートしている必要があります。

VMware Cloud Director 10.4 アプライアンスが [LegacyConsoleProxy] 機能のオプションの有効化をサポートする必要があるため、この手順にはコンソール プロキシの設定が含まれています。

前提条件

これが環境のニーズに関連する手順であることを確認するには、VMware Cloud Director アプライアンスの SSL 証明書の作成と管理について理解しておく必要があります。

手順

  1. VMware Cloud Director アプライアンス コンソールに、root として直接ログインするか、SSH クライアントを使用して接続します。
  2. 環境のニーズに応じて、次のいずれかのオプションを選択します。
    VMware Cloud Director アプライアンスをデプロイすると、 VMware Cloud Director は、HTTPS サービスとコンソール プロキシ サービス用に 2,048 ビットのキー サイズで自己署名証明書を自動的に生成します。
    • デプロイ時に生成される証明書に認証局で署名する場合は、手順 5 に進みます。
    • キー サイズを大きくするなどのカスタム オプションを使用して新しい証明書を生成する場合は、手順 3 に進みます。
  3. コマンドを実行して、既存の証明書ファイルをバックアップします。 
    cp /opt/vmware/vcloud-director/etc/user.http.pem /opt/vmware/vcloud-director/etc/user.http.pem.original
cp /opt/vmware/vcloud-director/etc/user.http.key /opt/vmware/vcloud-director/etc/user.http.key.original
cp /opt/vmware/vcloud-director/etc/user.consoleproxy.pem /opt/vmware/vcloud-director/etc/user.consoleproxy.pem.original
cp /opt/vmware/vcloud-director/etc/user.consoleproxy.key /opt/vmware/vcloud-director/etc/user.consoleproxy.key.original
  4. 次のコマンドを実行して、HTTPS サービス用とコンソール プロキシ サービス用のパブリックおよびプライベート キー ペアを作成します。 
    /opt/vmware/vcloud-director/bin/cell-management-tool generate-certs --cert /opt/vmware/vcloud-director/etc/user.http.pem --key /opt/vmware/vcloud-director/etc/user.http.key --key-password root-password
/opt/vmware/vcloud-director/bin/cell-management-tool generate-certs --cert /opt/vmware/vcloud-director/etc/user.consoleproxy.pem --key /opt/vmware/vcloud-director/etc/user.consoleproxy.key --key-password root-password

    これらのコマンドにより、デフォルト値を使用した証明書ファイルの作成または上書き、および指定したパスワードを使用したプライベート キー ファイルの作成または上書きが行われます。環境の DNS 構成に応じて、発行者のコモン ネーム (CN) は各サービスの IP アドレスまたは FQDN に設定されます。証明書はキー長にデフォルトの 2048 ビットを使用し、作成後 1 年で期限切れになります。

    重要: VMware Cloud Director アプライアンスの構成上の制限のため、HTTPS 証明書ファイルの場所には /opt/vmware/vcloud-director/etc/user.http.pem および /opt/vmware/vcloud-director/etc/user.http.key を、コンソール プロキシ証明書ファイルの場所には /opt/vmware/vcloud-director/etc/user.consoleproxy.pem および /opt/vmware/vcloud-director/etc/user.consoleproxy.key を使用する必要があります。
    注: アプライアンスの root パスワードをキー パスワードとして使用します。
  5. HTTPS サービス用とコンソール プロキシ サービス用の証明書署名リクエスト (CSR) を作成します。
    重要: VMware Cloud Director アプライアンスは、HTTPS サービスとコンソール プロキシ サービスの両方で同じ IP アドレスおよびホスト名を共有します。そのため、CSR 作成コマンドでは、Subject Alternative Names (SAN) 拡張引数に同じ DNS および IP アドレスを指定する必要があります。
    1. http.csr ファイル内に証明書署名リクエストを作成します。 
      openssl req -new -key /opt/vmware/vcloud-director/etc/user.http.key -reqexts SAN -config <(cat /etc/ssl/openssl.cnf <(printf "\n[SAN]\nsubjectAltName=DNS:vcd2.example.com,DNS:vcd2,IP:10.100.101.10\n")) -out http.csr
    2. consoleproxy.csr ファイル内に証明書署名リクエストを作成します。 
      openssl req -new -key /opt/vmware/vcloud-director/etc/user.consoleproxy.key -reqexts SAN -config <(cat /etc/ssl/openssl.cnf <(printf "\n[SAN]\nsubjectAltName=DNS:vcd2.example.com,DNS:vcd2,IP:10.100.101.10\n")) -out consoleproxy.csr
  6. 証明書署名リクエストを認証局に送信します。
    証明書発行機関により、Web サーバー タイプを指定するよう求められる場合は、Jakarta Tomcat を使用します。
    CA 署名付き証明書を取得します。
  7. CA 署名付き証明書、CA ルート証明書、およびすべての中間証明書を VMware Cloud Director アプライアンスにコピーし、コマンドを実行して既存の証明書を上書きします。
    1. コマンドを実行して、アプライアンスの既存の user.http.pem 証明書を CA 署名付きバージョンで上書きします。 
      cp ca-signed-http.pem /opt/vmware/vcloud-director/etc/user.http.pem
    2. コマンドを実行して、アプライアンスの既存の user.consoleproxy.pem を CA 署名付きバージョンで上書きします。 
      cp ca-signed-consoleproxy.pem /opt/vmware/vcloud-director/etc/user.consoleproxy.pem
  8. ルート CA 署名付き証明書と中間証明書を HTTP 証明書およびコンソール プロキシ証明書に追加するには、次のコマンドを実行します。 
    cat intermediate-certificate-file-1.cer intermediate-certificate-file-2.cer root-CA-certificate.cer >> /opt/vmware/vcloud-director/etc/user.http.pem
cat intermediate-certificate-file-1.cer intermediate-certificate-file-2.cer root-CA-certificate.cer >> /opt/vmware/vcloud-director/etc/user.consoleproxy.pem
  9. 証明書を VMware Cloud Director インスタンスにインポートするには、次のコマンドを実行します。 
    /opt/vmware/vcloud-director/bin/cell-management-tool certificates -j --cert /opt/vmware/vcloud-director/etc/user.http.pem --key /opt/vmware/vcloud-director/etc/user.http.key --key-password root_password
/opt/vmware/vcloud-director/bin/cell-management-tool certificates -p --cert /opt/vmware/vcloud-director/etc/user.consoleproxy.pem --key /opt/vmware/vcloud-director/etc/user.consoleproxy.key --key-password root_password
  10. 新しい署名付き証明書を有効にするには、VMware Cloud Director アプライアンスで vmware-vcd サービスを再起動します。
    1. コマンドを実行してサービスを停止します。 
      /opt/vmware/vcloud-director/bin/cell-management-tool cell -i $(service vmware-vcd pid cell) -s
    2. コマンドを実行してサービスを開始します。 
      systemctl start vmware-vcd

次のタスク