プライベートキーおよび CA 署名付き SSL 証明書の VMware Cloud Director アプライアンスへのインポート

独自のプライベートキーと CA 署名付き証明書ファイルがある場合は、それらを VMware Cloud Director 環境にインポートすると、SSL 通信での信頼レベルが最高になり、クラウドインフラストラクチャ内の接続を保護することができます。

VMware Cloud Director 10.4 以降では、コンソールプロキシトラフィック通信と HTTPS 通信の両方がデフォルトの 443 ポートを経由します。コンソールプロキシ用の個別の証明書は必要ありません。

注： VMware Cloud Director 10.4.1 以降では、コンソールプロキシ機能のレガシー実装はサポートされていません。

前提条件

これが環境のニーズに関連する手順であることを確認するには、VMware Cloud Director アプライアンスの SSL 証明書の作成と管理について理解しておく必要があります。
中間証明書、ルート CA 証明書、CA 署名付き HTTPS サービス証明書をアプライアンスにコピーします。
インポートするキーと証明書が、PEM でエンコードされた PKCS #8 プライベートキーと PEM でエンコードされた X.509 証明書であることを確認します。

手順

VMware Cloud Director アプライアンスコンソールに、root として直接ログインするか、SSH クライアントを使用して接続します。

既存の証明書ファイルをバックアップします。

オプション説明

オプション	説明
VMware Cloud Director 10.2 からアップグレードした環境の場合。	`user.http.pem`、`user.http.key`、`user.consoleproxy.pem`、`user.consoleproxy.key` の各プロパティを使用し、/opt/vmware/vcloud-director/etc/global.properties から既存の `http` および `consoleproxy` 証明書ファイルパスのメモを取ります。既存の証明書ファイルをバックアップするには、手順 2a のパスを使用して次のコマンドを実行します。 cp `path_to_the_user.http.pem` /opt/vmware/vcloud-director/etc/user.http.pem.original cp `path_to_the_user.http.key` /opt/vmware/vcloud-director/etc/user.http.key.original
VMware Cloud Director 10.3 からアップグレードした環境か、新しい環境の場合。	既存の証明書ファイルをバックアップするには、次のコマンドを実行します。 cp /opt/vmware/vcloud-director/etc/user.http.pem /opt/vmware/vcloud-director/etc/user.http.pem.original cp /opt/vmware/vcloud-director/etc/user.http.key /opt/vmware/vcloud-director/etc/user.http.key.original

VMware Cloud Director 10.2 からアップグレードした環境の場合。

user.http.pem、user.http.key、user.consoleproxy.pem、user.consoleproxy.key の各プロパティを使用し、/opt/vmware/vcloud-director/etc/global.properties から既存の http および consoleproxy 証明書ファイルパスのメモを取ります。

既存の証明書ファイルをバックアップするには、手順 2a のパスを使用して次のコマンドを実行します。

cp path_to_the_user.http.pem /opt/vmware/vcloud-director/etc/user.http.pem.original
cp path_to_the_user.http.key /opt/vmware/vcloud-director/etc/user.http.key.original

VMware Cloud Director 10.3 からアップグレードした環境か、新しい環境の場合。

既存の証明書ファイルをバックアップするには、次のコマンドを実行します。

cp /opt/vmware/vcloud-director/etc/user.http.pem /opt/vmware/vcloud-director/etc/user.http.pem.original
cp /opt/vmware/vcloud-director/etc/user.http.key /opt/vmware/vcloud-director/etc/user.http.key.original

/opt/vmware/vcloud-director/etc/user.http.pem および /opt/vmware/vcloud-director/etc/user.http.key にインポートする必要があるキーと証明書ファイルをコピーして、置き換えます。
中間証明書がある場合に、ルート CA 署名付き証明書と中間証明書を HTTP 証明書に追加するには、次のコマンドを実行します。
```
cat intermediate-certificate-file-1.cer intermediate-certificate-file-2.cerroot-CA-certificate.cer >> /opt/vmware/vcloud-director/etc/user.http.pem
```
ここで、intermediate-certificate-file-1.cer および intermediate-certificate-file-2.cer は中間証明書の名前、root-CA-certificate.cer はルート CA 署名付き証明書の名前です。

コマンドを実行して、署名付き証明書を VMware Cloud Director インスタンスにインポートします。

/opt/vmware/vcloud-director/bin/cell-management-tool certificates -j --cert /opt/vmware/vcloud-director/etc/user.http.pem --key /opt/vmware/vcloud-director/etc/user.http.key --key-password imported_key_password

CA 署名付き証明書を有効にするには、VMware Cloud Director アプライアンスで vmware-vcd サービスを再起動します。
1. コマンドを実行してサービスを停止します。
```
/opt/vmware/vcloud-director/bin/cell-management-tool cell -i $(service vmware-vcd pid cell) -s
```
2. コマンドを実行してサービスを開始します。
```
systemctl start vmware-vcd
```

次のタスク

ワイルドカード証明書を使用する場合は、「HTTPS 通信用の署名付きワイルドカード証明書を使用した VMware Cloud Director アプライアンスのデプロイ」を参照してください。
ワイルドカード証明書を使用しない場合は、サーバグループ内のすべての VMware Cloud Director アプライアンスセルでこの手順を繰り返します。
組み込みの PostgreSQL データベースおよび VMware Cloud Director アプライアンスの管理ユーザーインターフェイスの証明書の置換の詳細については、「自己署名の組み込み PostgreSQL および VMware Cloud Director アプライアンスの管理ユーザーインターフェイス証明書の置き換え」を参照してください。