署名付きワイルドカード証明書を使用して、vCloud Director アプライアンスをデプロイできます。これらの証明書を使用すると、証明書にリストされているドメイン名のサブドメインであるサーバを、数に制限なく保護できます。

デフォルトでは、vCloud Director アプライアンスをデプロイすると、vCloud Director は自己署名証明書を生成し、それらを使用して HTTPS 通信およびコンソール プロキシ通信用の vCloud Director セルを設定します。

プライマリ アプライアンスを正常にデプロイすると、アプライアンス構成ロジックによって、プライマリ アプライアンスから共通の NFS 共有転送サービス ストレージ (/opt/vmware/vcloud-director/data/transfer) に responses.properties ファイルがコピーされます。この vCloud Director サーバ グループにデプロイされた他のアプライアンスは、このファイルを使用して自動的に設定されます。responses.properties ファイルには SSL 証明書キーストアのパスが含まれていて、SSL 証明書キーストアには自動生成された自己署名証明書 user.keystore.path が含まれています。デフォルトでは、このパスは各アプライアンスに対してローカルなキーストア ファイルのパスになります。

プライマリ アプライアンスをデプロイした後で、署名付き証明書を使用するように再設定できます。署名付き証明書を使用したキーストアの作成の詳細については、vCloud Director アプライアンスへの CA 署名付き SSL 証明書の作成とインポートを参照してください。

プライマリ vCloud Director アプライアンスで使用する署名付き証明書が署名付きワイルドカード証明書である場合、これらの証明書は vCloud Director サーバ グループ内の他のすべてのアプライアンス、つまりスタンバイ セルと vCloud Director アプリケーション セルに適用できます。HTTPS 通信およびコンソール プロキシ通信用の署名付きワイルドカード証明書を使用したアプライアンスのデプロイを行って、追加のセルに署名付きワイルドカード SSL 証明書を設定できます。

前提条件

  • HTTPS とコンソール プロキシの両方のエイリアス用の署名付きワイルドカード SSL 証明書を含むキーストアが、プライマリ アプライアンス (/opt/vmware/vcloud-director/certificates.ks) で使用可能であることを確認します。
  • キーストア内のキーのプライベート パスワードがキーストアのパスワードと一致することを確認します。キーストアのパスワードは、次のような、すべてのアプライアンスをデプロイするときに使用する初期 root パスワードと一致する必要があります。
    /opt/vmware/vcloud-director/jre/bin/keytool -keypasswd -alias http_or_consoleproxy -keystore /opt/vmware/vcloud-director/certificates.ks -storetype jceks -storepass root-password

手順

  1. プライマリ アプライアンスから転送共有 (/opt/vmware/vcloud-director/data/transfer/) に、適切に署名された証明書を含む新しい certificates.ks ファイルをコピーします。
  2. キーストア ファイルに関する所有者およびグループの権限を vcloud に変更します。
    chown vcloud.vcloud /opt/vmware/vcloud-director/data/transfer/certificates.ks
  3. キーストア ファイルの所有者に読み取りおよび書き込み権限があることを確認します。
    chmod 0750 /opt/vmware/vcloud-director/data/transfer/certificates.ks
  4. プライマリ アプライアンスでコマンドを実行して、新しい署名付き証明書を vCloud Director インスタンスにインポートします。

    このコマンドにより、転送共有内の responses.properties ファイルも更新され、転送共有内のキーストア ファイルを参照するように user.keystore.path 変数が変更されます。

    /opt/vmware/vcloud-director/bin/cell-management-tool certificates -j -p --keystore /opt/vmware/vcloud-director/data/transfer/certificates.ks --keystore-password root-password
  5. 新しい署名付き証明書を有効にするには、プライマリ アプライアンスで vmware-vcd サービスを再起動します。
    service vmware-vcd restart
  6. キーストアのパスワードと一致する初期 root パスワードを使用して、スタンバイ セル アプライアンスとアプリケーション セル アプライアンスをデプロイします。

結果

新しくデプロイされたアプライアンスのうち、同じ NFS 共有転送サービス ストレージを使用するものはすべて、プライマリ アプライアンスで使用されるものと同じ署名付きワイルドカード SSL 証明書を使用して設定されます。