VMware Cloud Director アプライアンス証明書の更新

VMware Cloud Director アプライアンスをデプロイすると、有効期間が 365 日の自己署名証明書が生成されます。使用環境で期限切れ間近の証明書または期限切れになった証明書がある場合は、新しい自己署名証明書を生成できます。各 VMware Cloud Director セルの証明書を個別に更新する必要があります。

VMware Cloud Director 10.4 以降の VMware Cloud Director サービスでは、HTTPS 通信とコンソールプロキシ通信に 1 つの証明書が使用されます。組み込み PostgreSQL データベースおよび VMware Cloud Director アプライアンスの管理ユーザーインターフェイスは、別の SSL 証明書を共有します。

注： VMware Cloud Director 10.4.1 以降では、コンソールプロキシ機能のレガシー実装はサポートされていません。

すべての自己署名証明書を変更できます。また、VMware Cloud Director の HTTPS 通信に CA 署名付き証明書を使用している場合、組み込みの PostgreSQL データベースおよびアプライアンス管理ユーザーインターフェイス証明書のみを変更することもできます。CA 署名付き証明書には、既知の公開認証局をルートとする完全な信頼チェーンが含まれています。

前提条件

これが環境のニーズに関連する手順であることを確認するには、VMware Cloud Director アプライアンスの SSL 証明書の作成と管理について理解しておく必要があります。
データベース高可用性クラスタ内のプライマリノードの証明書を更新する場合は、セル管理ツールの opt/vmware/vcloud-director/bin/cell-management-tool cell -m コマンドを実行して、他のすべてのノードをメンテナンスモードにし、データの損失を防ぎます。VMware Cloud Director セルの管理を参照してください。
FIPS モードが有効になっている場合、アプライアンスの root パスワードは 14 文字以上にする必要があります。VMware Cloud Director アプライアンスの root パスワードの変更を参照してください。

手順

VMware Cloud Director アプライアンスの OS に root として直接ログインするか、SSH で接続します。
VMware Cloud Director サービスを停止するには、次のコマンドを実行します。
```
/opt/vmware/vcloud-director/bin/cell-management-tool -u administrator cell --shutdown
```
データベースおよびアプライアンスの管理ユーザーインターフェイス用、または HTTPS 通信用の新しい自己署名証明書、データベース、およびアプライアンス管理ユーザーインターフェイスを生成します。
- 組み込みの PostgreSQL データベースと VMware Cloud Director アプライアンス管理ユーザーインターフェイス専用の自己署名証明書を生成して、以下を実行します。
```
/opt/vmware/appliance/bin/generate-certificates.sh <root-password> --skip-vcd-certs
```
  このコマンドは、組み込みの PostgreSQL データベースおよびアプライアンス管理ユーザーインターフェイスに新しく生成された証明書が使用されるように自動設定します。PostgreSQL サーバと Nginx サーバが再起動します。
- 組み込みの PostgreSQL データベースおよびアプライアンス管理ユーザーインターフェイスの証明書に加えて、VMware Cloud Director の HTTPS 通信用の新しい自己署名証明書を生成します。
  1. 次のコマンドを実行します。
```
/opt/vmware/appliance/bin/generate-certificates.sh <root-password>
```
  2. CA 署名付き証明書を使用していない場合は、コマンドを実行して、新しく生成された自己署名証明書を VMware Cloud Director にインポートします。
```
/opt/vmware/vcloud-director/bin/cell-management-tool certificates -j --cert /opt/vmware/vcloud-director/etc/user.http.pem --key /opt/vmware/vcloud-director/etc/user.http.key --key-password root_password
```
  3. VMware Cloud Director サービスを再起動します。
```
service vmware-vcd start
```
  これらのコマンドは、組み込みの PostgreSQL データベースおよびアプライアンス管理ユーザーインターフェイスに新しく生成された証明書が使用されるように自動設定します。PostgreSQL サーバと Nginx サーバが再起動します。このコマンドは、プライベートキー /opt/vmware/vcloud-director/etc/user.http.key を使用して新しい自己署名 SSL 証明書 /opt/vmware/vcloud-director/etc/user.http.pem を生成します。これらは手順 1 で使用します。

結果

更新された自己署名証明書が、VMware Cloud Director ユーザーインターフェイスに表示されます。

新しい PostgreSQL 証明書は、次回に appliance-sync 機能が実行されるときに、他の VMware Cloud Director セル上の VMware Cloud Director トラストストアにインポートされます。この操作は、最大で 60 秒かかる可能性があります。

次のタスク

必要に応じて、自己署名証明書を、外部または内部の認証局によって署名された証明書に置き換えることができます。