デフォルトでは、組み込み PostgreSQL データベースおよび vCloud Director アプライアンスの管理ユーザー インターフェイスは、一連の自己署名の SSL 証明書を共有します。セキュリティを強化するために、デフォルトの自己署名証明書を認証局 (CA) が署名した証明書に置き換えることができます。

vCloud Director アプライアンスをデプロイすると、有効期間が 365 日の自己署名証明書が生成されます。vCloud Director アプライアンスは 2 セットの SSL 証明書を使用します。vCloud Director サービスは、HTTPS およびコンソール プロキシの通信用に 1 セットの証明書を使用します。組み込み PostgreSQL データベースおよび vCloud Director アプライアンスの管理ユーザー インターフェイスは、別の SSL 証明書セットを共有します。

注: データベースおよびアプライアンス管理ユーザー インターフェイスの証明書を置き換えるプロセスは、HTTPS およびコンソール プロキシ通信の証明書には影響しません。証明書セットの一方を置き換えても、他方のセットの置き換えが必要になるわけではありません。

手順

  1. /opt/vmware/appliance/etc/ssl/vcd_ova.csr にある証明書署名リクエストを認証局 (CA) に送信して、署名するよう要求します。
  2. プライマリ データベースの証明書を置き換える場合は、データの損失を招くことがないよう、他のすべてのノードをメンテナンス モードにします。
  3. /opt/vmware/appliance/etc/ssl/vcd_ova.crt の既存の PEM 形式証明書を、手順 1 で CA から取得した署名付き証明書に置き換えます。
  4. 新しい証明書を取得するには、vpostgres、nginx、および vcd_ova_ui サービスを再起動します。
    systemctl restart nginx.service && systemctl restart vcd_ova_ui.service
    systemctl restart vpostgres.service
  5. プライマリ データベースの証明書を置き換える場合は、他のすべてのノードでメンテナンス モードを解除します。

結果

新しい証明書は、appliance-sync 機能が次回実行されるときに、他の vCloud Director セル上の vCloud Director トラストストアにインポートされます。この操作には、60 秒ほどかかる場合があります。