独自のプライベート キーと CA 署名付き証明書ファイルがある場合は、それらを VMware Cloud Director 環境にインポートすると、SSL 通信での信頼レベルが最高になり、クラウド インフラストラクチャ内の接続を保護することができます。

VMware Cloud Director 10.4 以降では、コンソール プロキシ トラフィック通信と HTTPS 通信の両方がデフォルトの 443 ポートを経由します。コンソール プロキシ用の個別の証明書は必要ありません。

注: VMware Cloud Director 10.4.1 以降では、コンソール プロキシ機能のレガシー実装はサポートされていません。

前提条件

  • これが環境のニーズに関連する手順であることを確認するには、VMware Cloud Director アプライアンスの SSL 証明書の作成と管理について理解しておく必要があります。

  • 中間証明書、ルート CA 証明書、CA 署名付き HTTPS サービス証明書をアプライアンスにコピーします。
  • インポートするキーと証明書が、PEM でエンコードされた PKCS #8 プライベート キーと PEM でエンコードされた X.509 証明書であることを確認します。

手順

  1. VMware Cloud Director アプライアンス コンソールに、root として直接ログインするか、SSH クライアントを使用して接続します。
  2. 既存の証明書ファイルをバックアップします。
    オプション 説明
    VMware Cloud Director 10.2 からアップグレードした環境の場合。
    1. user.http.pemuser.http.keyuser.consoleproxy.pemuser.consoleproxy.key の各プロパティを使用し、/opt/vmware/vcloud-director/etc/global.properties から既存の http および consoleproxy 証明書ファイル パスのメモを取ります。
    2. 既存の証明書ファイルをバックアップするには、手順 2a のパスを使用して次のコマンドを実行します。
      cp path_to_the_user.http.pem /opt/vmware/vcloud-director/etc/user.http.pem.original
      cp path_to_the_user.http.key /opt/vmware/vcloud-director/etc/user.http.key.original
    VMware Cloud Director 10.3 からアップグレードした環境か、新しい環境の場合。 既存の証明書ファイルをバックアップするには、次のコマンドを実行します。
    cp /opt/vmware/vcloud-director/etc/user.http.pem /opt/vmware/vcloud-director/etc/user.http.pem.original
    cp /opt/vmware/vcloud-director/etc/user.http.key /opt/vmware/vcloud-director/etc/user.http.key.original
  3. /opt/vmware/vcloud-director/etc/user.http.pem および /opt/vmware/vcloud-director/etc/user.http.key にインポートする必要があるキーと証明書ファイルをコピーして、置き換えます。
  4. 中間証明書がある場合に、ルート CA 署名付き証明書と中間証明書を HTTP 証明書に追加するには、次のコマンドを実行します。
    cat intermediate-certificate-file-1.cer intermediate-certificate-file-2.cerroot-CA-certificate.cer >> /opt/vmware/vcloud-director/etc/user.http.pem

    ここで、intermediate-certificate-file-1.cer および intermediate-certificate-file-2.cer は中間証明書の名前、root-CA-certificate.cer はルート CA 署名付き証明書の名前です。

  5. コマンドを実行して、署名付き証明書を VMware Cloud Director インスタンスにインポートします。
    /opt/vmware/vcloud-director/bin/cell-management-tool certificates -j --cert /opt/vmware/vcloud-director/etc/user.http.pem --key /opt/vmware/vcloud-director/etc/user.http.key --key-password imported_key_password
  6. CA 署名付き証明書を有効にするには、VMware Cloud Director アプライアンスで vmware-vcd サービスを再起動します。
    1. コマンドを実行してサービスを停止します。
      /opt/vmware/vcloud-director/bin/cell-management-tool cell -i $(service vmware-vcd pid cell) -s
    2. コマンドを実行してサービスを開始します。
      systemctl start vmware-vcd

次のタスク