署名付きワイルドカード証明書を使用して、VMware Cloud Director アプライアンスをデプロイできます。これらの証明書を使用すると、証明書にリストされているドメイン名のサブドメインであるサーバを、数に制限なく保護できます。

デフォルトでは、VMware Cloud Director アプライアンスをデプロイすると、VMware Cloud Director は自己署名証明書を生成し、それらを使用して HTTPS 通信用の VMware Cloud Director セルを構成します。

VMware Cloud Director 10.4 以降では、コンソール プロキシ トラフィック通信と HTTPS 通信の両方がデフォルトの 443 ポートを経由します。コンソール プロキシ用の個別の証明書は必要ありません。

注: VMware Cloud Director 10.4.1 以降では、コンソール プロキシ機能のレガシー実装はサポートされていません。

プライマリ アプライアンスを正常にデプロイすると、アプライアンス構成ロジックによって、プライマリ アプライアンスから共通の NFS 共有転送サービス ストレージ (/opt/vmware/vcloud-director/data/transfer) に responses.properties ファイルがコピーされます。この VMware Cloud Director サーバ グループにデプロイされた他のアプライアンスは、このファイルを使用して自動的に設定されます。responses.properties ファイルには、SSL 証明書へのパスとプライベート キーが含まれています。自動生成された自己署名証明書 user.certificate.path、プライベート キー user.key.path などが該当します。デフォルトでは、これらのパスは各アプライアンスに対してローカルな PEM ファイルへのパスです。

プライマリ アプライアンスをデプロイした後で、署名付き証明書を使用するように再構成できます。署名付き証明書の作成の詳細については、「VMware Cloud Director アプライアンス用 CA 署名付き SSL 証明書の作成およびインポート」を参照してください。

プライマリ VMware Cloud Director アプライアンスで使用する署名付き証明書が署名付きワイルドカード証明書である場合、これらの証明書は VMware Cloud Director サーバ グループ内の他のすべてのアプライアンス、つまりスタンバイ セルと VMware Cloud Director アプリケーション セルに適用できます。HTTPS 通信用の署名付きワイルドカード証明書を使用したアプライアンスのデプロイを行って、追加のセルに署名付きワイルドカード SSL 証明書を構成できます。

前提条件

これが環境のニーズに関連する手順であることを確認するには、VMware Cloud Director アプライアンスの SSL 証明書の作成と管理について理解しておく必要があります。

手順

  1. user.http.pem および user.http.key ファイルをプライマリ アプライアンスから /opt/vmware/vcloud-director/data/transfer/ にある転送共有にコピーします。
  2. 証明書ファイルに関する所有者およびグループの権限を vcloud に変更します。
    chown vcloud.vcloud /opt/vmware/vcloud-director/data/transfer/user.http.pem
    chown vcloud.vcloud /opt/vmware/vcloud-director/data/transfer/user.http.key
  3. 証明書ファイルの所有者に読み取りおよび書き込み権限があることを確認します。
    chmod 0750 /opt/vmware/vcloud-director/data/transfer/user.http.pem
    chmod 0750 /opt/vmware/vcloud-director/data/transfer/user.http.key
  4. プライマリ アプライアンスでコマンドを実行して、新しい署名付き証明書を VMware Cloud Director インスタンスにインポートします。

    このコマンドによって転送共有内の responses.properties ファイルも更新され、user.certificate.path および user.key.path 変数が転送共有内の証明書ファイルを参照するように変更されます。

    /opt/vmware/vcloud-director/bin/cell-management-tool certificates -j --cert /opt/vmware/vcloud-director/data/transfer/user.http.pem --key /opt/vmware/vcloud-director/data/transfer/user.http.key --key-password root-password
  5. 新しい署名付き証明書を有効にするには、プライマリ アプライアンスで vmware-vcd サービスを再起動します。
    1. コマンドを実行してサービスを停止します。
      /opt/vmware/vcloud-director/bin/cell-management-tool cell -i $(service vmware-vcd pid cell) -s
    2. コマンドを実行してサービスを開始します。
      systemctl start vmware-vcd
  6. キーのパスワードと一致する初期 root パスワードを使用して、スタンバイ セル アプライアンスとアプリケーション セル アプライアンスをデプロイします。

結果

新しくデプロイされたアプライアンスのうち、同じ NFS 共有転送サービス ストレージを使用するものはすべて、プライマリ アプライアンスで使用されるものと同じ署名付きワイルドカード SSL 証明書を使用して設定されます。