外部証明書やサードパーティの証明書を生成してインストールする場合は、証明書署名リクエスト (CSR) を SDDC Manager ダッシュボードからダウンロードして、サードパーティ CA によって手動で署名しておく必要があります。その後、SDDC Manager ダッシュボード のコントロールを使用して証明書をインストールできます。
前提条件
認証局の構成ファイルを構成し、
.tar.gz ファイル形式でパッケージ化していることを確認します。このアーカイブの内容は、次の構造に従う必要があります。
- トップレベルのディレクトリの名前は、 画面のリストに表示されるドメインの名前と完全に一致する必要があります。例:MGMT。
- PEM でエンコードされたルート CA 証明書チェーン ファイル (rootca.crt) は、このトップレベルのディレクトリ内に存在する必要があります。
rootca.crt ファイルにはルート認証局が記述されており、N 個の中間証明書を指定できます。rootca.crt ファイルのファイル構造は、次の例のようにする必要があります。
-----BEGIN CERTIFICATE-----
<content>
-----END CERTIFICATE------
-----BEGIN CERTIFICATE-----
<content>
-----END CERTIFICATE------
-----BEGIN CERTIFICATE-----
<content>
-----END CERTIFICATE-----
上記の例では、intermediate1 と intermediate2 の 2 つの中間証明書とルート証明書があります。intermediate1 は intermediate2 によって発行された証明書を使用する必要があり、intermediate2 はルート CA が発行した証明書を使用する必要があります。
- このディレクトリには、コンポーネント リソースごとに 1 つのサブディレクトリが含まれている必要があります。
各サブディレクトリの名前は、 タブの [リソース ホスト名] 列に表示される、対応するコンポーネントのリソース ホスト名と完全に一致する必要があります。
たとえば、nsxManager.vrack.vsphere.local、vcenter-1.vrack.vsphere.local などです。
- 各サブディレクトリには対応する .csr ファイルが含まれている必要があります。このファイルの名前は、 タブの [リソース ホスト名] 列に表示されるリソースと完全に一致する必要があります。
たとえば、nsxManager.vrack.vsphere.local サブディレクトリには、nsxManager.vrack.vsphere.local.csr ファイルが含まれます。
- 各サブディレクトリには対応する .crt ファイルが含まれている必要があります。このファイルの名前は、 タブの [リソース ホスト名] 列に表示されるリソースと完全に一致する必要があります。
たとえば、nsxManager.vrack.vsphere.local サブディレクトリには、nsxManager.vrack.vsphere.local.crt ファイルが含まれます。
注: すべてのリソースとホスト名の値は、
タブのリストにあります。
手順
- SDDC Manager ダッシュボード で、 に移動します。
[ワークロード ドメイン] 画面には、すべてのワークロード ドメインの情報が表示されます。
- ドメインのリストで、ワークロード ドメインの名前をクリックして、そのドメインの詳細画面を開きます。
ワークロード ドメインの詳細画面には、ドメインに割り当てられている CPU、メモリ、およびストレージが表示されます。
- [セキュリティ] タブを選択します。
このタブには、Cloud Foundation のリソース コンポーネントのデフォルトの証明書などの詳細が一覧表示されます。また、証明書を使用するためのコントロールも提供されます。
注: 名前の横にある下矢印アイコンをクリックすると、コンポーネントの現在の証明書とキー情報を表示できます。
- CSR を生成します。
- チェック ボックスを使用して、CSR を生成するリソース コンポーネントを選択します。
- [CSR の生成] をクリックします。
[CSR の生成] ダイアログ ボックスが開きます。
- CSR に次の設定を行います。
| オプション |
説明 |
| アルゴリズム |
証明書のキー タイプを選択します。通常、RSA (デフォルト) が使用されます。キー タイプは、ホスト間の通信のための暗号化アルゴリズムを定義します。 |
| キーのサイズ |
ドロップダウン メニューからキー サイズ(2048 ビット、3072 ビット、または 4096 ビット)を選択します。 |
| E メール |
必要に応じて、連絡先のメール アドレスを入力します。 |
| 組織単位 |
このフィールドを使用して、この証明書が関連付けられている組織内の部門を区別します。 |
| 組織 |
法的に登記されている会社名を入力します。リストされた組織は、証明書要求のドメイン名の法定登録者である必要があります。 |
| 市区町村 |
会社が法的に登記されている市区町村名を入力します。 |
| 都道府県 |
会社が法的に登記されている都道府県名を省略せずに入力します。 |
| 国 |
会社が法的に登記されている国の名前を入力します。この値には ISO 3166 国コードを使用する必要があります。 |
- [CSR の生成] をクリックします。
[CSR の生成] ダイアログ ボックスが閉じます。[セキュリティ] タブに、
CSR の生成が進行中 というステータスが表示されます。CSR の生成が完了すると、
[CSR のダウンロード] ボタンがアクティブになります。
- [CSR のダウンロード] をクリックして CSR ファイルをダウンロードし、上記の「前提条件」のセクションに記載されているディレクトリ構造に保存します。
- SDDC Manager ダッシュボード の外部で、次のタスクを実行します。
- 異なる .csr ファイルが正常に生成され、必要なファイル構造に割り当てられていることを確認します。
- 署名された証明書要求を取得します。
これにより、対応する
.crt ファイルが作成されます。
- 新しく取得した .crt ファイルの名前が正しく、必要なファイル構造に割り当てられていることを確認します。
- 以下のことを確認します。
- サーバ証明書の
ExtendedKyeUsage(EKU) フィールドと SAN フィールドの値は、CSR の値と同じである必要があります。
- サーバ証明書のキー使用拡張機能には、
digitalSignature または keyEncipherment のいずれかのキーワードを含める必要があります。
- ルート CA 証明書のキー使用拡張機能には、
crlSign と keyCertSign の両方のキーワードを含める必要があります。
- ファイル構造を <domain name>.tar.gz としてパッケージ化します。<domain name> フォルダには、rootca.crt ファイルを含める必要があります。
- [アップロードしてインストール] をクリックします。
- [証明書のアップロードとインストール] ダイアログ ボックスで、[参照] をクリックし、新しく作成した <domain name>.tar.gz ファイルを見つけて選択します。
ファイルを選択すると、
[アップロード] ボタンがアクティブになります。
- [アップロード] をクリックします。
アップロードが完了すると、
[証明書のインストール] ボタンがアクティブになります。
- [証明書のインストール] をクリックします。
[セキュリティ] タブに、
証明書のインストールが進行中 というステータスが表示されます。
注: インストールが完了すると、リスト内の影響を受けるコンポーネントの [証明書のインストール ステータス] 列が
Successful に変更され、緑色のチェック マークが表示されます。
重要: リソース コンポーネントの 1 つとして
SDDC Manager を選択した場合は、
SDDC Manager サービスを手動で再起動して新しい証明書を反映し、管理ドメイン内の
VMware Cloud Foundation サービスとその他のリソースとの正常な接続を確立する必要があります。
- 指定された sddcmanager_restart_services.sh スクリプトを使用して、すべてのサービスを再起動します。
サービスを再起動するには:
- SSH を使用し、次の認証情報を使用して SDDC Manager 仮想マシン にログインします。
ユーザー名:
vcf
パスワード:展開パラメータ ワークブックで指定したパスワードを使用。
- root ユーザーに切り替えるには、su と入力します。
- 次のコマンドを実行します。
sh /opt/vmware/vcf/operationsmanager/scripts/cli/sddcmanager_restart_services.sh
