同じシングル サインオン (SSO) ドメインに参加している複数の SDDC Manager のインスタンスを展開している場合は、証明書が正しくインストールされていることを確認する手順を実行する必要があります。

注: VMware Cloud Foundation 4.5 では、複数の VMware Cloud Foundation インスタンスを同じ vCenter Single Sign-On ドメインに参加させる機能は廃止されました。
デフォルトでは、展開する各 vCenter Server は VMCA 署名付き証明書を使用します。VMware では、すべての SDDC Manager インスタンスで、各管理ドメイン vCenter Server のデフォルトの VMCA 署名付き証明書を、同じ外部認証局 (CA) によって署名された証明書に置き換えることをお勧めします。 SDDC Manager インスタンスのいずれかに新しい VI ワークロード ドメインを展開したら、管理ドメイン vCenter Server と同じ外部 CA によって署名された証明書を VI ワークロード ドメイン vCenter Server にインストールします。
すべての SDDC Manager インスタンスで各 vCenter Server にデフォルトの VMCA 署名付き証明書を使用する場合は、 SDDC Manager インスタンスによって SSO ドメインに追加の vCenter Server Appliance が導入されるたびに、次の手順を実行する必要があります。
  • 新しい vCenter Server Appliance の VMCA マシン証明書を、その SSO ドメインに参加している他のすべての SDDC Manager インスタンスのトラスト ストアにインポートします。
次の場合に、SSO ドメインに追加の vCenter Server Appliance が導入されます。
  • 既存の SDDC Manager インスタンスと同じ SSO ドメインを共有する新しい SDDC Manager インスタンスを展開します。
  • SSO ドメインを共有する任意の SDDC Manager インスタンスに新しい VI ワークロード ドメインを展開します。

手順

  1. 新しい管理ドメインまたは VI ワークロード ドメイン vCenter Server の証明書を取得します。
    1. root ユーザー アカウントを使用して新しい vCenter Server Appliance に SSH 接続します。
    2. Shell と入力します。
    3. VMware Certificate Store (VECS) から証明書を取得し、出力ファイルに送信します。
      /usr/lib/vmware-vmafd/bin/vecs-cli entry getcert --store MACHINE_SSL_CERT --alias
      __MACHINE_CERT --output /tmp/<new-vcenter>.cer
  2. 証明書 (<new-vcenter>.cer) を、証明書をインポートする SDDC Manager インスタンスにアクセスできるコンピュータにコピーします。
  3. SDDC Manager インスタンスのトラスト ストアに証明書をインポートします。
    1. 証明書を SDDC Manager アプライアンス にコピーします。
      たとえば、 /tmp/<new-vcenter>.cer などです。
    2. vcf ユーザー アカウントを使用して SDDC Manager アプライアンスに SSH 接続します。
    3. su と入力して、root ユーザーに切り替えます。
    4. 次のコマンドを実行します。
      trustedKey=$(cat /etc/vmware/vcf/commonsvcs/trusted_certificates.key)
      (echo $trustedKey; sleep 1; echo "Yes") | keytool -importcert -alias <new-vcenter> -file /tmp/<newvcenter>.
      cer -keystore /etc/vmware/vcf/commonsvcs/trusted_certificates.store
      echo "Yes" | keytool -importcert -alias <new-vcenter> -file /tmp/<new-vcenter>.cer -keystore
      /etc/alternatives/jre/lib/security/cacerts --storepass changeit
    5. キーストアのエントリを検証します。
      keytool -list -v -keystore /etc/vmware/vcf/commonsvcs/trusted_certificates.store -storepass $trustedKey
  4. 信頼されている証明書をインポートした各 SDDC Manager インスタンスで、すべての SDDC Manager サービスを再起動します。
    echo "Y" | /opt/vmware/vcf/operationsmanager/scripts/cli/sddcmanager_restart_services.sh