VMware Cloud Director アプライアンス用 CA 署名付き SSL 証明書の作成およびインポート

VMware Cloud Director アプライアンス用に認証局 (CA) によって署名された証明書を作成およびインポートすると、SSL 通信の信頼レベルが最大になり、クラウド内の接続を保護することができます。

重要：

デプロイ時に、VMware Cloud Director アプライアンスは、2,048 ビットのキーサイズの自己署名証明書を生成します。適切なキーサイズを選択する前に、インストールのセキュリティ要件を評価する必要があります。NIST Special Publication 800-131A に従い、1024 ビット未満のキーサイズはサポートされなくなりました。

この手順で使用されるプライベートキーパスワードは root ユーザーパスワードであり、root_password として表されます。

VMware Cloud Director 10.4 以降では、コンソールプロキシトラフィック通信と HTTPS 通信の両方がデフォルトの 443 ポートを経由します。

注： VMware Cloud Director 10.4.1 以降では、コンソールプロキシ機能のレガシー実装はサポートされていません。

前提条件

これが環境のニーズに関連する手順であることを確認するには、VMware Cloud Director アプライアンスの SSL 証明書の作成と管理について理解しておく必要があります。

手順

VMware Cloud Director アプライアンスコンソールに、root として直接ログインするか、SSH クライアントを使用して接続します。
環境のニーズに応じて、次のいずれかのオプションを選択します。
VMware Cloud Director アプライアンスをデプロイすると、 VMware Cloud Director は、HTTPS サービスとコンソールプロキシサービス用に 2,048 ビットのキーサイズで自己署名証明書を自動的に生成します。
- デプロイ時に生成される証明書に認証局で署名する場合は、手順 5 に進みます。
- キーサイズを大きくするなどのカスタムオプションを使用して新しい証明書を生成する場合は、手順 3 に進みます。

コマンドを実行して、既存の証明書ファイルをバックアップします。

cp /opt/vmware/vcloud-director/etc/user.http.pem /opt/vmware/vcloud-director/etc/user.http.pem.original
cp /opt/vmware/vcloud-director/etc/user.http.key /opt/vmware/vcloud-director/etc/user.http.key.original

次のコマンドを実行して、HTTPS サービス用のパブリックキーとプライベートキーのペアを作成します。
```
/opt/vmware/vcloud-director/bin/cell-management-tool generate-certs --cert /opt/vmware/vcloud-director/etc/user.http.pem --key /opt/vmware/vcloud-director/etc/user.http.key --key-password root-password
```
これらのコマンドにより、デフォルト値を使用した証明書ファイルの作成または上書き、および指定したパスワードを使用したプライベートキーファイルの作成または上書きが行われます。環境の DNS 構成に応じて、発行者のコモンネーム (CN) は各サービスの IP アドレスまたは FQDN に設定されます。証明書はキー長にデフォルトの 2048 ビットを使用し、作成後 1 年で期限切れになります。

重要： VMware Cloud Director アプライアンスの構成には制限があるため、HTTPS 証明書ファイルの場所には /opt/vmware/vcloud-director/etc/user.http.pem と /opt/vmware/vcloud-director/etc/user.http.key を使用する必要があります。

注：アプライアンスの root パスワードをキーパスワードとして使用します。

http.csr ファイル内に、HTTPS サービスの証明書署名要求 (CSR) を作成します。

openssl req -new -key /opt/vmware/vcloud-director/etc/user.http.key -reqexts SAN -config <(cat /etc/ssl/openssl.cnf <(printf "\n[SAN]\nsubjectAltName=DNS:vcd2.example.com,DNS:vcd2,IP:10.100.101.10\n")) -out http.csr

証明書署名リクエストを認証局に送信します。
証明書発行機関により、Web サーバータイプを指定するよう求められる場合は、Jakarta Tomcat を使用します。

CA 署名付き証明書を取得します。
CA 署名付き証明書、CA ルート証明書、およびすべての中間証明書を VMware Cloud Director アプライアンスにコピーし、コマンドを実行してアプライアンスの既存の user.http.pem 証明書を CA 署名付きのバージョンで上書きします。
```
cp ca-signed-http.pem /opt/vmware/vcloud-director/etc/user.http.pem
```
ルート CA 署名付き証明書と中間証明書を HTTP 証明書およびコンソールプロキシ証明書に追加するには、次のコマンドを実行します。
```
cat intermediate-certificate-file-1.cer intermediate-certificate-file-2.cer root-CA-certificate.cer >> /opt/vmware/vcloud-director/etc/user.http.pem
```

証明書を VMware Cloud Director インスタンスにインポートするには、次のコマンドを実行します。

/opt/vmware/vcloud-director/bin/cell-management-tool certificates -j --cert /opt/vmware/vcloud-director/etc/user.http.pem --key /opt/vmware/vcloud-director/etc/user.http.key --key-password root_password

新しい署名付き証明書を有効にするには、VMware Cloud Director アプライアンスで vmware-vcd サービスを再起動します。
1. コマンドを実行してサービスを停止します。
```
/opt/vmware/vcloud-director/bin/cell-management-tool cell -i $(service vmware-vcd pid cell) -s
```
2. コマンドを実行してサービスを開始します。
```
systemctl start vmware-vcd
```

次のタスク

ワイルドカード証明書を使用している場合は、「HTTPS 通信用の署名付きワイルドカード証明書を使用した VMware Cloud Director アプライアンスのデプロイ」の手順に従って、クラスタに今後追加するアプライアンスインスタンスで同一のワイルドカード署名証明書が使用されるようにします。
サーバグループ内のすべての VMware Cloud Director アプライアンスインスタンスでこの手順を繰り返します。
組み込みの PostgreSQL データベースおよび VMware Cloud Director アプライアンスの管理ユーザーインターフェイスの証明書の置換の詳細については、「自己署名の組み込み PostgreSQL および VMware Cloud Director アプライアンスの管理ユーザーインターフェイス証明書の置き換え」を参照してください。