VMware Cloud Director セル管理ツールの generate-certs コマンドを使用して、HTTPS エンドポイントの自己署名付き SSL 証明書を生成します。
各 VMware Cloud Director サーバ グループは、HTTPS サービス用のエンドポイントをサポートしている必要があります。VMware Cloud Director 10.4 以降では、コンソール プロキシ トラフィック通信と HTTPS 通信はデフォルトの 443 ポートを経由します。HTTPS サービス エンドポイントは、VMware Cloud Director Service Provider Admin Portal、 VMware Cloud Director Tenant Portal、VMware Cloud Director API、および vApp と仮想マシンへの VMRC 接続に関連するコンソール プロキシ トラフィックをサポートします。
注:
VMware Cloud Director 10.4.1 以降では、コンソール プロキシ機能のレガシー実装はサポートされていません。
セル管理ツールの generate-certs コマンドにより、「Linux 上での VMware Cloud Director 用の自己署名付き SSL 証明書の作成」に示す手順が自動化されます。
新しい自己署名 SSL 証明書を生成するには、次の形式でコマンドラインを使用します。
cell-management-toolgenerate-certsoptions
オプション | 引数 | 説明 |
---|---|---|
--help (-h) | なし | このカテゴリで使用可能なコマンドの概要を示します。 |
--expiration (-x) | days-until-expiration | 証明書の有効期限が切れるまでの日数です。デフォルトでは 365 です。 |
--issuer (-i) | name=value [, name=value, ...] | 証明書発行者の X.509 識別名。デフォルトでは CN=FQDN です。FQDN はセルの完全修飾ドメイン名です。完全修飾ドメイン名が使用できない場合は、その IP アドレスです。複数の属性と値のペアを指定する場合は、各ペアをカンマで区切り、引数全体を引用符で囲んでください。 |
--key-size (-s) | key-size | 整数ビットとして表されるキー ペアのサイズです。デフォルトでは 2048 です。NIST Special Publication 800-131A に従い、1,024 未満のキー サイズはサポートされなくなりました。 |
--key-password | key-password | 生成されたプライベート キーのパスワード。 |
--cert | cert | 生成された、PEM でエンコードされた X.509 証明書ファイルへのパスです。 |
--key | key | 生成された、PEM でエンコードされた PKCS #8 プライベート キー ファイルへのパスです。 |
自己署名付き証明書の作成
これらの両方の例では、証明書ファイル /tmp/cell.pem と、パスワードが kpw
の対応するプライベート キー ファイル /tmp/cell.key を想定しています。これらのファイルはない場合に作成されます。
この例では、デフォルト値を使用して新しい証明書を作成します。発行者名は
CN=Unknown
に設定されています。証明書はキー長にデフォルトの 2048 ビットを使用し、作成後 1 年で期限切れになります。
[root@cell1 /opt/vmware/vcloud-director/bin]# ./cell-management-tool generate-certs --cert /tmp/cell.pem --key /tmp/cell.key --key-password kpw New certificate created and written to /tmp/cell.pem New private key created and written to /tmp/cell.key
この例ではキー サイズと発行者名にカスタムの値を指定しています。発行者名は
CN=Test, L=London, C=GB
に設定されています。HTTPS 接続の新しい証明書のキー長は 4,096 ビットで、作成後 90 日で期限切れになります。
[root@cell1 /opt/vmware/vcloud-director/bin]# ./cell-management-tool generate-certs --cert /tmp/cell.pem --key /tmp/cell.key --key-password kpw -i "CN=Test, L=London, C=GB" -s 4096 -x 90 New certificate created and written to /tmp/cell.pem New private key created and written to /tmp/cell.key
重要: 証明書ファイルとプライベート キー ファイル、およびこれらが格納されているディレクトリは、ユーザー
vcloud.vcloud
から読み取り可能である必要があります。
VMware Cloud Director インストーラにより、このユーザーとグループが作成されます。