VMware Cloud Director 10.4 用 CA 署名付き SSL 証明書の作成およびインポート

認証局 (CA) によって署名された証明書を作成およびインポートすると、SSL 通信の信頼レベルが最大になり、クラウド内の接続を保護することができます。バージョン 10.4 の手順には、コンソールプロキシの設定が含まれます。

VMware Cloud Director 10.4.1 以降の CA 署名付き SSL 証明書を作成してインポートする場合は、VMware Cloud Director アプライアンス 10.4.1 以降の CA 署名付き SSL 証明書の作成とインポートを参照してください。

重要：デプロイ時に、 VMware Cloud Director アプライアンスは、2,048 ビットのキーサイズの自己署名証明書を生成します。適切なキーサイズを選択する前に、インストールのセキュリティ要件を評価する必要があります。NIST Special Publication 800-131A に従い、1024 ビット未満のキーサイズはサポートされなくなりました。

この手順で使用されるプライベートキーパスワードは root ユーザーパスワードであり、root_password として表されます。

VMware Cloud Director 10.4 以降では、コンソールプロキシトラフィック通信と HTTPS 通信の両方がデフォルトの 443 ポートを経由します。

注： VMware Cloud Director 10.4.1 以降では、コンソールプロキシ機能のレガシー実装はサポートされていません。

VMware Cloud Director 10.4 では、[管理] タブの [機能フラグ] 設定メニューで [LegacyConsoleProxy] 機能を有効にできます。[LegacyConsoleProxy] を有効にする場合、各 VMware Cloud Director セルは、HTTPS 用とコンソールプロキシ通信用の 2 台の異なる SSL エンドポイントをサポートしている必要があります。

VMware Cloud Director 10.4 アプライアンスが [LegacyConsoleProxy] 機能のオプションの有効化をサポートする必要があるため、この手順にはコンソールプロキシの設定が含まれています。

前提条件

これが環境のニーズに関連する手順であることを確認するには、VMware Cloud Director アプライアンスの SSL 証明書の作成と管理について理解しておく必要があります。

手順

VMware Cloud Director アプライアンスコンソールに、root として直接ログインするか、SSH クライアントを使用して接続します。
環境のニーズに応じて、次のいずれかのオプションを選択します。
VMware Cloud Director アプライアンスをデプロイすると、 VMware Cloud Director は、HTTPS サービスとコンソールプロキシサービス用に 2,048 ビットのキーサイズで自己署名証明書を自動的に生成します。
- デプロイ時に生成される証明書に認証局で署名する場合は、手順 5 に進みます。
- キーサイズを大きくするなどのカスタムオプションを使用して新しい証明書を生成する場合は、手順 3 に進みます。

コマンドを実行して、既存の証明書ファイルをバックアップします。

cp /opt/vmware/vcloud-director/etc/user.http.pem /opt/vmware/vcloud-director/etc/user.http.pem.original
cp /opt/vmware/vcloud-director/etc/user.http.key /opt/vmware/vcloud-director/etc/user.http.key.original
cp /opt/vmware/vcloud-director/etc/user.consoleproxy.pem /opt/vmware/vcloud-director/etc/user.consoleproxy.pem.original
cp /opt/vmware/vcloud-director/etc/user.consoleproxy.key /opt/vmware/vcloud-director/etc/user.consoleproxy.key.original

次のコマンドを実行して、HTTPS サービス用とコンソールプロキシサービス用のパブリックおよびプライベートキーペアを作成します。
```
/opt/vmware/vcloud-director/bin/cell-management-tool generate-certs --cert /opt/vmware/vcloud-director/etc/user.http.pem --key /opt/vmware/vcloud-director/etc/user.http.key --key-password root-password
/opt/vmware/vcloud-director/bin/cell-management-tool generate-certs --cert /opt/vmware/vcloud-director/etc/user.consoleproxy.pem --key /opt/vmware/vcloud-director/etc/user.consoleproxy.key --key-password root-password
```
これらのコマンドにより、デフォルト値を使用した証明書ファイルの作成または上書き、および指定したパスワードを使用したプライベートキーファイルの作成または上書きが行われます。環境の DNS 構成に応じて、発行者のコモンネーム (CN) は各サービスの IP アドレスまたは FQDN に設定されます。証明書はキー長にデフォルトの 2048 ビットを使用し、作成後 1 年で期限切れになります。

重要： VMware Cloud Director アプライアンスの構成上の制限のため、HTTPS 証明書ファイルの場所には /opt/vmware/vcloud-director/etc/user.http.pem および /opt/vmware/vcloud-director/etc/user.http.key を、コンソールプロキシ証明書ファイルの場所には /opt/vmware/vcloud-director/etc/user.consoleproxy.pem および /opt/vmware/vcloud-director/etc/user.consoleproxy.key を使用する必要があります。

注：アプライアンスの root パスワードをキーパスワードとして使用します。
HTTPS サービス用とコンソールプロキシサービス用の証明書署名リクエスト (CSR) を作成します。

重要： VMware Cloud Director アプライアンスは、HTTPS サービスとコンソールプロキシサービスの両方で同じ IP アドレスおよびホスト名を共有します。そのため、CSR 作成コマンドでは、Subject Alternative Names (SAN) 拡張引数に同じ DNS および IP アドレスを指定する必要があります。
1. http.csr ファイル内に証明書署名リクエストを作成します。
```
openssl req -new -key /opt/vmware/vcloud-director/etc/user.http.key -reqexts SAN -config <(cat /etc/ssl/openssl.cnf <(printf "\n[SAN]\nsubjectAltName=DNS:vcd2.example.com,DNS:vcd2,IP:10.100.101.10\n")) -out http.csr
```
2. consoleproxy.csr ファイル内に証明書署名リクエストを作成します。
```
openssl req -new -key /opt/vmware/vcloud-director/etc/user.consoleproxy.key -reqexts SAN -config <(cat /etc/ssl/openssl.cnf <(printf "\n[SAN]\nsubjectAltName=DNS:vcd2.example.com,DNS:vcd2,IP:10.100.101.10\n")) -out consoleproxy.csr
```
証明書署名リクエストを認証局に送信します。
証明書発行機関により、Web サーバータイプを指定するよう求められる場合は、Jakarta Tomcat を使用します。

CA 署名付き証明書を取得します。
CA 署名付き証明書、CA ルート証明書、およびすべての中間証明書を VMware Cloud Director アプライアンスにコピーし、コマンドを実行して既存の証明書を上書きします。
1. コマンドを実行して、アプライアンスの既存の user.http.pem 証明書を CA 署名付きバージョンで上書きします。
```
cp ca-signed-http.pem /opt/vmware/vcloud-director/etc/user.http.pem
```
2. コマンドを実行して、アプライアンスの既存の user.consoleproxy.pem を CA 署名付きバージョンで上書きします。
```
cp ca-signed-consoleproxy.pem /opt/vmware/vcloud-director/etc/user.consoleproxy.pem
```

ルート CA 署名付き証明書と中間証明書を HTTP 証明書およびコンソールプロキシ証明書に追加するには、次のコマンドを実行します。

cat intermediate-certificate-file-1.cer intermediate-certificate-file-2.cer root-CA-certificate.cer >> /opt/vmware/vcloud-director/etc/user.http.pem
cat intermediate-certificate-file-1.cer intermediate-certificate-file-2.cer root-CA-certificate.cer >> /opt/vmware/vcloud-director/etc/user.consoleproxy.pem

証明書を VMware Cloud Director インスタンスにインポートするには、次のコマンドを実行します。

/opt/vmware/vcloud-director/bin/cell-management-tool certificates -j --cert /opt/vmware/vcloud-director/etc/user.http.pem --key /opt/vmware/vcloud-director/etc/user.http.key --key-password root_password
/opt/vmware/vcloud-director/bin/cell-management-tool certificates -p --cert /opt/vmware/vcloud-director/etc/user.consoleproxy.pem --key /opt/vmware/vcloud-director/etc/user.consoleproxy.key --key-password root_password

新しい署名付き証明書を有効にするには、VMware Cloud Director アプライアンスで vmware-vcd サービスを再起動します。
1. コマンドを実行してサービスを停止します。
```
/opt/vmware/vcloud-director/bin/cell-management-tool cell -i $(service vmware-vcd pid cell) -s
```
2. コマンドを実行してサービスを開始します。
```
systemctl start vmware-vcd
```

次のタスク

ワイルドカード証明書を使用している場合は、HTTPS 通信用の署名付きワイルドカード証明書を使用した VMware Cloud Director アプライアンス 10.4.1 以降のデプロイの手順に従って、クラスタに今後追加するアプライアンスインスタンスで同一のワイルドカード署名証明書が使用されるようにします。
サーバグループ内のすべての VMware Cloud Director アプライアンスインスタンスでこの手順を繰り返します。
組み込みの PostgreSQL データベースおよび VMware Cloud Director アプライアンスの管理ユーザーインターフェイスの証明書の置換の詳細については、自己署名の組み込み PostgreSQL および VMware Cloud Director アプライアンスの管理ユーザーインターフェイス証明書の置き換えを参照してください。