VMware Cloud Foundation では、サードパーティの証明書をインストールする機能がサポートされています。証明書署名リクエスト (CSR) を SDDC Manager からダウンロードして、サードパーティの認証局によって署名する必要があります。その後、SDDC Manager ユーザー インターフェイス のコントロールを使用して証明書をインストールできます。

前提条件

サードパーティ認証局からの CA 署名付き証明書をアップロードするには、関連する証明書ファイルを正しい形式で収集し、その内容を含む単一の .tar.gz ファイルを作成する必要があります。次のように、.tar.gz ファイル内に正しいディレクトリ構造を作成することが重要です。

  • トップレベルのディレクトリの名前は、[インベントリ] > [ワークロード ドメイン] のリストに表示されるワークロード ドメインの名前と完全に一致する必要があります。たとえば、sfo-m01 などです。

    • PEM でエンコードされたルート CA 証明書チェーン ファイル(rootca.crt という名前を付ける必要があります)は、このトップレベルのディレクトリ内に存在する必要があります。rootca.crt チェーン ファイルにはルート認証局が記述されており、n 個の中間証明書を指定できます。

      例:
      -----BEGIN CERTIFICATE-----
      <Intermediate1 certificate content>
      -----END CERTIFICATE------
      -----BEGIN CERTIFICATE-----
      <Intermediate2 certificate content>
      -----END CERTIFICATE------
      -----BEGIN CERTIFICATE-----
      <Root certificate content>
      -----END CERTIFICATE-----

      上記の例では、intermediate1intermediate2 の 2 つの中間証明書、および 1 つのルート証明書があります。Intermediate1intermediate2 によって発行された証明書を使用する必要があり、intermediate2 はルート CA によって発行された証明書を使用する必要があります。

    • ルート CA 証明書チェーン ファイル、中間証明書、およびルート証明書には、値が CA:TRUEBasic Constraints フィールドが含まれている必要があります。
    • このディレクトリには、証明書を置き換えるコンポーネント リソースごとに 1 つのサブディレクトリが含まれている必要があります。

  • 各サブディレクトリは、[インベントリ] > [ワークロード ドメイン] > [セキュリティ] タブの [リソース ホスト名] 列に表示される、対応するコンポーネントのリソース ホスト名と完全に一致する必要があります。

    たとえば、nsxManager.vrack.vsphere.localvcenter-1.vrack.vsphere.local などです。

    • 各サブディレクトリには対応する .csr ファイルが含まれている必要があります。このファイルの名前は、[インベントリ] > [ワークロード ドメイン] > [セキュリティ] タブの [リソース ホスト名] 列に表示されるリソースと完全に一致する必要があります。

    • 各サブディレクトリには対応する .crt ファイルが含まれている必要があります。このファイルの名前は、[インベントリ] > [ワークロード ドメイン] > [セキュリティ] タブの [リソース ホスト名] 列に表示されるリソースと完全に一致する必要があります。.crt ファイルの内容は改行文字で終わる必要があります。

      たとえば、nsxManager.vrack.vsphere.local サブディレクトリには、nsxManager.vrack.vsphere.local.crt ファイルが含まれます。

  • rootca.crt を含むすべての証明書は UNIX ファイル形式である必要があります。
  • NSX-T 証明書の追加要件:
    • サーバ証明書 (NSXT_FQDN.crt) には、値が CA:FALSEBasic Constraints フィールドが含まれている必要があります。
    • NSX-T 証明書に HTTP または HTTPS ベースの CRL 配布ポイントが含まれている場合は、サーバからアクセスできる必要があります。
    • 生成された証明書の拡張キー使用法 (EKU) には、生成された CSR の EKU が含まれている必要があります。
注:

すべてのリソースとホスト名の値は、[インベントリ] > [ワークロード ドメイン] > [セキュリティ] タブのリストにあります。

手順

  1. ナビゲーション ペインで、[インベントリ] > [ワークロード ドメイン] をクリックします。
  2. [ワークロード ドメイン] 画面のテーブルのドメイン列で、表示するワークロード ドメインをクリックします。
  3. ドメインのサマリ画面で、[セキュリティ] タブをクリックします。
  4. ターゲット コンポーネントの CSR ファイルを生成します。
    1. テーブルから、CSR を生成するリソース タイプのチェック ボックスを選択します。
    2. [CSR の生成] をクリックします。
      [CSR の生成] ウィザードが開きます。
    3. [詳細] ダイアログで設定を構成し、[次へ] をクリックします。

      オプション

      説明

      アルゴリズム

      証明書のキー アルゴリズムを選択します。

      キーのサイズ

      ドロップダウン メニューからキー サイズ(2048 ビット、3072 ビット、または 4096 ビット)を選択します。

      E メール

      必要に応じて、連絡先のメール アドレスを入力します。

      組織単位

      このフィールドを使用して、この証明書が関連付けられている組織内の部門を区別します。

      組織名

      公開されている会社名を入力します。リストされた組織は、証明書要求のドメイン名の法定登録者である必要があります。

      市区町村

      会社が法的に登記されている市区町村名を入力します。

      都道府県

      会社が法的に登記されている都道府県名を省略せずに入力します。

      会社が法的に登記されている国の名前を入力します。この値には ISO 3166 国コードを使用する必要があります。

    4. (オプション)[サブジェクト代替名] ダイアログで、サブジェクト代替名を入力し、[次へ] をクリックします。
      複数の値をカンマ (,)、セミコロン (;)、またはスペース ( ) で区切って入力できます。NSX-T の場合は、仮想 IP アドレス(プライマリ)ノードとともに各ノードのサブジェクト代替名を入力できます。
      注: *.example.com のようなワイルドカードのサブジェクト代替名は推奨されません。
    5. [サマリ] ダイアログで、[CSR の生成] をクリックします。
  5. [CSR のダウンロード] をクリックして CSR ファイルをダウンロードし、ディレクトリに保存します。
  6. SDDC Manager ユーザー インターフェイス の外部で次のタスクを完了します。
    1. 異なる .csr ファイルが正常に生成され、必要なディレクトリ構造に割り当てられていることを確認します。
    2. 各 .csr に対しサードパーティ認証局から署名付き証明書を要求します。
    3. 新しく取得した .crt ファイルの名前が正しく、必要なディレクトリ構造に割り当てられていることを確認します。
    4. SDDC Manager にアップロードする準備ができているディレクトリ構造の新しい .tar.gz ファイルを作成します。例:<domain name>.tar.gz
  7. [アップロードしてインストール] をクリックします。
  8. [証明書のアップロードとインストール] ダイアログ ボックスで、[参照] をクリックし、新しく作成した <domain name>.tar.gz ファイルを見つけて [開く] をクリックします。
  9. [アップロード] をクリックします。
  10. アップロードが成功したら、[証明書のインストール] をクリックします。[セキュリティ] タブに、証明書のインストールが進行中というステータスが表示されます。