証明書バンドルを使用した VMware Cloud Foundation へのサードパーティ CA 署名付き証明書のインストール

VMware Cloud Foundation では、サードパーティの証明書をインストールする 2 つの方法がサポートされています。この手順では、証明書バンドルを使用する従来の方法について説明します。従来の方法を使用するには、環境設定を変更してから、この手順を使用して CSR を生成し、サードパーティの CA を使用して CSR に署名し、最後に証明書をアップロードしてインストールする必要があります。

前提条件

VMware Cloud Foundation 4.5.1 では、サードパーティの CA 署名付き証明書をインストールするための新しい方法が導入されています。デフォルトでは、 VMware Cloud Foundation は新しい方法を使用します。新しい方法の使用方法については、サーバ証明書と認証局ファイルを使用したサードパーティの CA 署名付き証明書のインストールを参照してください。従来の方法を使用する場合は、環境設定を変更する必要があります。

SDDC Manager ユーザーインターフェイスでログインユーザーをクリックし、[環境設定] を選択します。
トグルを使用して、レガシー証明書管理に切り替えます。

従来の方法を使用して、サードパーティ認証局からの CA 署名付き証明書をアップロードするには、関連する証明書ファイルを正しい形式で収集し、その内容を含む単一の .tar.gz ファイルを作成する必要があります。次のように、.tar.gz ファイル内に正しいディレクトリ構造を作成することが重要です。

トップレベルのディレクトリの名前は、[インベントリ] > [ワークロードドメイン] のリストに表示されるワークロードドメインの名前と完全に一致する必要があります。たとえば、sfo-m01 などです。
- PEM でエンコードされたルート CA 証明書チェーンファイル（rootca.crt という名前を付ける必要があります）は、このトップレベルのディレクトリ内に存在する必要があります。rootca.crt チェーンファイルにはルート認証局が記述されており、n 個の中間証明書を指定できます。
  例：
```
-----BEGIN CERTIFICATE-----
<Intermediate1 certificate content>
-----END CERTIFICATE------
-----BEGIN CERTIFICATE-----
<Intermediate2 certificate content>
-----END CERTIFICATE------
-----BEGIN CERTIFICATE-----
<Root certificate content>
-----END CERTIFICATE-----
```
  上記の例では、intermediate1 と intermediate2 の 2 つの中間証明書、および 1 つのルート証明書があります。Intermediate1 は intermediate2 によって発行された証明書を使用する必要があり、intermediate2 はルート CA によって発行された証明書を使用する必要があります。
- ルート CA 証明書チェーンファイル、中間証明書、およびルート証明書には、値が CA:TRUE の Basic Constraints フィールドが含まれている必要があります。
- このディレクトリには、証明書を置き換えるコンポーネントリソースごとに 1 つのサブディレクトリが含まれている必要があります。
各サブディレクトリは、[インベントリ] > [ワークロードドメイン] > [証明書] タブの [リソースホスト名] 列に表示される、対応するコンポーネントのリソースホスト名と完全に一致する必要があります。

たとえば、nsxManager.vrack.vsphere.local、vcenter-1.vrack.vsphere.local などです。
- 各サブディレクトリには対応する .csr ファイルが含まれている必要があります。このファイルの名前は、[インベントリ] > [ワークロードドメイン] > [証明書] タブの [リソースホスト名] 列に表示されるリソースと完全に一致する必要があります。
- 各サブディレクトリには対応する .crt ファイルが含まれている必要があります。このファイルの名前は、[インベントリ] > [ワークロードドメイン] > [証明書] タブの [リソースホスト名] 列に表示されるリソースと完全に一致する必要があります。.crt ファイルの内容は改行文字で終わる必要があります。
  
  たとえば、nsxManager.vrack.vsphere.local サブディレクトリには、nsxManager.vrack.vsphere.local.crt ファイルが含まれます。
rootca.crt を含むすべての証明書は UNIX ファイル形式である必要があります。
NSX-T 証明書の追加要件：
- サーバ証明書 (NSXT_FQDN.crt) には、値が CA:FALSE の Basic Constraints フィールドが含まれている必要があります。
- NSX-T 証明書に HTTP または HTTPS ベースの CRL 配布ポイントが含まれている場合は、サーバからアクセスできる必要があります。
- 生成された証明書の拡張キー使用法 (EKU) には、生成された CSR の EKU が含まれている必要があります。

注：

すべてのリソースとホスト名の値は、[インベントリ] > [ワークロードドメイン] > [証明書] タブのリストにあります。

手順

ナビゲーションペインで、[インベントリ] > [ワークロードドメイン] をクリックします。
[ワークロードドメイン] 画面のテーブルのドメイン列で、表示するワークロードドメインをクリックします。
ドメインのサマリ画面で、[証明書] タブをクリックします。

ターゲットコンポーネントの CSR ファイルを生成します。

テーブルから、CSR を生成するリソースタイプのチェックボックスを選択します。
[CSR の生成] をクリックします。
[CSR の生成] ウィザードが開きます。

[詳細] ダイアログで設定を構成し、[次へ] をクリックします。


オプション	説明
アルゴリズム	証明書のキーアルゴリズムを選択します。
キーのサイズ	ドロップダウンメニューからキーサイズ（2048 ビット、3072 ビット、または 4096 ビット）を選択します。
E メール	必要に応じて、連絡先のメールアドレスを入力します。
組織単位	このフィールドを使用して、この証明書が関連付けられている組織内の部門を区別します。
組織名	公開されている会社名を入力します。リストされた組織は、証明書要求のドメイン名の法定登録者である必要があります。
市区町村	会社が法的に登記されている市区町村名を入力します。
都道府県	会社が法的に登記されている都道府県名を省略せずに入力します。
国	会社が法的に登記されている国の名前を入力します。この値には ISO 3166 国コードを使用する必要があります。

（オプション）[サブジェクト代替名] ダイアログで、サブジェクト代替名を入力し、[次へ] をクリックします。
複数の値をカンマ (,)、セミコロン (;)、またはスペース ( ) で区切って入力できます。NSX-T の場合は、仮想 IP アドレス（プライマリ）ノードとともに各ノードのサブジェクト代替名を入力できます。
注： *.example.com のようなワイルドカードのサブジェクト代替名は推奨されません。
[サマリ] ダイアログで、[CSR の生成] をクリックします。

[CSR のダウンロード] をクリックして CSR ファイルをダウンロードし、ディレクトリに保存します。
SDDC Manager ユーザーインターフェイスの外部で次のタスクを完了します。
1. 異なる .csr ファイルが正常に生成され、必要なディレクトリ構造に割り当てられていることを確認します。
2. 各 .csr に対しサードパーティ認証局から署名付き証明書を要求します。
3. 新しく取得した .crt ファイルの名前が正しく、必要なディレクトリ構造に割り当てられていることを確認します。
4. SDDC Manager にアップロードする準備ができているディレクトリ構造の新しい .tar.gz ファイルを作成します。例：<domain name>.tar.gz。
[アップロードしてインストール] をクリックします。
[証明書のアップロードとインストール] ダイアログボックスで、[参照] をクリックし、新しく作成した <domain name>.tar.gz ファイルを見つけて [開く] をクリックします。
[アップロード] をクリックします。
アップロードが成功したら、[証明書のインストール] をクリックします。[セキュリティ] タブに、証明書のインストールが進行中というステータスが表示されます。