独自のプライベート キーおよび CA 署名付き証明書ファイルがある場合は、キーストアを vCloud Director 環境にインポートする前に、HTTPS サービスとコンソール プロキシ サービスの両方の証明書とプライベート キーをインポートするキーストア ファイルを作成する必要があります。

前提条件

  • keytool コマンドについて理解しておきます。keytool を使用して、CA 署名付き SSL 証明書を vCloud Director アプライアンスにインポートします。vCloud Director は、keytool のコピーを /opt/vmware/vcloud-director/jre/bin/keytool に配置します。

  • 中間証明書、ルート CA 証明書、CA 署名付き HTTPS サービス、およびコンソール プロキシ サービスのプライベート キーと証明書をアプライアンスにコピーします。

手順

  1. vCloud Director アプライアンス コンソールに root として直接ログインするか、SSH で接続します。
  2. 中間証明書がある場合は、コマンドを実行してルート CA 署名証明書と中間証明書を結合し、証明書チェーンを作成します。
    cat intermediate-certificate-file-1.cer intermediate-certificate-file-2.cer root-CA-certificate.cer > chain.crt
  3. OpenSSL を使用して、HTTPS サービスとコンソール プロキシ サービスの両方のために、プライベート キー、証明書チェーン、それぞれのエイリアスを持つ中間 PKCS12 キーストア ファイルを作成し、各キーストア ファイルのパスワードを指定します。
    1. HTTPS サービス用のキーストア ファイルを作成します。
      openssl pkcs12 -export -in http.crt -inkey http.key -CAfile chain.crt -name http -passout pass:keystore_password -out http.pfx -chain
    2. コンソール プロキシ サービス用のキーストア ファイルを作成します。
      openssl pkcs12 -export -in consoleproxy.crt -inkey consoleproxy.key -CAfile chain.crt -name consoleproxy -passout pass:keystore_password -out consoleproxy.pfx –chain
  4. コマンドを実行して、既存の certificates.ks ファイルをバックアップします。
    cp /opt/vmware/vcloud-director/certificates.ks /root/certificates.ks.original
  5. keytool コマンドを使用して、PKCS12 キーストアを JCEKS キーストアにインポートします。
    1. HTTPS サービス用に PKCS12 キーストアをインポートします。
      keytool -importkeystore -deststorepass keystore_password -destkeystore /opt/vmware/vcloud-director/certificates.ks -deststoretype JCEKS -srckeystore http.pfx -srcstoretype PKCS12 -srcstorepass keystore_password
    2. コンソール プロキシ サービス用に PKCS12 キーストアをインポートします。
      keytool -importkeystore -deststorepass keystore_password -destkeystore /opt/vmware/vcloud-director/certificates.ks -deststoretype JCEKS -srckeystore consoleproxy.pfx -srcstoretype PKCS12 -srcstorepass keystore_password
  6. 証明書のインポートが成功したことを確認します。
    keytool -storetype JCEKS -storepass keystore_password -keystore /opt/vmware/vcloud-director/certificates.ks –list
  7. コマンドを実行して、署名付き証明書を vCloud Director インスタンスにインポートします。
    /opt/vmware/vcloud-director/bin/cell-management-tool certificates -j -p --keystore /opt/vmware/vcloud-director/certificates.ks --keystore-password keystore_password
  8. CA 署名付き証明書を有効にするには、vCloud Director アプライアンスで vmware-vcd サービスを再起動します。
    service vmware-vcd restart

次のタスク