VMware Cloud Foundation 環境の展開と運用の一環として、リスク評価、法的要件、業界のベスト プラクティス、組織の目的に応じたセキュリティに関する考慮事項を含めます。

一定の対策を講じることで、VMware Cloud Foundation 環境のセキュリティ設定が強化されます。

• パスワードを監視することで、VMware Cloud Foundation 環境でのコンプライアンス、アクセス制御、リスク軽減が保証されます。
• 複雑さ、有効期限、アカウントロックアウトなどのパスワード ポリシーにより、安全なプラクティスが適用されます。
• パスワードの複雑さの要件により、パスワードの強度が向上し、有効期限が定期的に更新され、アカウントロックアウトによって不正アクセスの試行が防止されます。

管理コンポーネントを展開する場合、VMware Cloud Foundation には有効なライセンス キーへのアクセス権が必要です。SDDC Manager インベントリにライセンス キーを追加して、展開時に使用できるようにしますが、ライセンス キーが SDDC Manager と基盤となるコンポーネント間で同期されることはありません。

VMware Cloud Foundation では、ワークロード ドメインの NSX Manager クラスタまたは個々の NSX Manager ノードの期限切れの SSL 証明書を、NSX Manager によって生成された自己署名証明書に一時的に置き換えます。次に、自己署名証明書を SDDC Manager トラスト ストアに追加します。

1. https://<nsx_manager_fqdn>/login.jsp?local=true の NSX Manager クラスタに admin としてログインします。

   NSX Manager クラスタの FQDN の証明書の有効期限が切れている場合は、Web ブラウザに証明書の例外を追加します。

2. 期限切れの証明書を特定します。
   1. ナビゲーション バーで、[システム] をクリックします。
   2. 左側のペインの [設定] で、[証明書] をクリックします。
   3. [証明書] タブで、[有効期間] 列を確認します。
3. 期限切れの証明書を含む NSX Manager エンティティの自己署名証明書を生成します。
   1. [証明書] タブで、[生成] > [自己署名の証明書] を選択します。
   2. CSR 情報を入力し、[保存] をクリックします。

      オプション	説明
      共通名	ノードの完全修飾ドメイン名 (FQDN) を入力します。 例：nsx-wld-01.vrack.vsphere.local。
      名前	証明書の名前を割り当てます。 例：nsx-wld-01.vrack.vsphere.local。
      組織単位	この証明書を処理している組織内の部門を入力します。 例：VMware Engineering。
      組織名	組織名を適切なサフィックスを付けて入力します。 例：VMware。
      市区町村	組織が所在する市区町村を追加します。 例：Palo Alto。
      都道府県	組織が所在する都道府県を追加します。 例：California。
      国/地域	組織の場所を追加します。 例：United States (US)。
      アルゴリズム	証明書の暗号化アルゴリズムを設定します。 例：RSA。
      キーのサイズ	暗号化アルゴリズムのキー ビット サイズを設定します。 例：2048。
      サービス証明書	NSX Manager アプライアンスで証明書を使用するには、[いいえ] に切り替えます。
      日数	今日から始まる証明書の有効性を入力します。
      説明	後でこの証明書を識別できるように特定の詳細を入力します。

   3. [保存] をクリックします。
   4. 証明書の有効期限が切れている残りのすべてのNSX Manager エンティティに対して、この手順を繰り返します。
4. 自己署名証明書をNSX Managerエンティティに追加します。
   1. [証明書] タブで、NSX Manager エンティティの証明書の ID を見つけてコピーします。
   2. curl コマンドに対応し、NSX Manager ノードにアクセスできるシステム（vCenter Server や SDDC Manager アプライアンスなど）から、次のコマンドを実行して自己署名証明書を NSX Manager クラスタまたは NSX Manager ノードにインストールします。

      クラスタまたは個々のノードで コマンドを実行します。

      NSX Manager UI からコピーした証明書 ID を使用します。

      証明書の有効期限が切れたエンティティのNSX Manager	証明書置き換えコマンド
      NSX Manager クラスタ	curl -H 'Accept: application/json' -H 'Content-Type: application/json' --insecure -u 'admin:<nsx_admin_password>' -X POST 'https://<nsx_manager_cluster_fqdn>/api/v1/trust-management/certificates/<certificate-id>?action=apply_certificate&service_type=MGMT_CLUSTER'
      NSX Manager ノード	curl -H 'Accept: application/json' -H 'Content-Type: application/json' --insecure -u 'admin:<nsx_admin_password>' -X POST 'https://<nsx_manager_node_fqdn>/api/v1/node/services/http?action=apply_certificate&certificate_id=<certificate_id>'

      curl コマンドは、出力メッセージなしで完了します。
   3. 証明書の有効期限が切れた残りのすべての NSX Manager ノードに対して、この手順を繰り返します。
5. 自己署名 NSX Manager 証明書を SDDC Manager のトラスト ストアに追加します。
   1. SDDC Manager (https://<sddc_manager_fqdn>) に [email protected] としてログインします。
   2. ナビゲーション ペインで、[インベントリ] > [ワークロード ドメイン] をクリックします。
   3. [ワークロード ドメイン] 画面で、NSX Manager クラスタまたはノードが含まれているワークロード ドメインをクリックします。
   4. ワークロード ドメインのサマリ画面で、[証明書] タブをクリックします。

      NSX Manager ノードとクラスタの証明書が信頼されていないことを示すステータス メッセージが表示されます。

   5. 自己署名証明書の場合は、ステータス メッセージで [確認] をクリックし、証明書の詳細を確認して、サムプリントがノードの自己署名証明書のサムプリントと一致することを確認します。
   6. 自己署名証明書を確認したら、[証明書の信頼] をクリックします。
   7. 残りの自己署名 NSX Manager 証明書を確認して信頼済みとしてマークします。
6. NSX Manager のすべての証明書がアクティブになったら、NSX Manager に関連するすべての FQDN に CA 署名付き証明書をインストールします。

   『VMware Cloud Foundation 管理ガイド』の「証明書の管理」を参照してください

   。
7. （オプション） 自己署名証明書を CA 署名付き証明書に置き換えた後に、SDDC Manager のトラスト ストアから自己署名証明書を削除します。

   『VMware Cloud Foundation 管理ガイド』の「SDDC Manager からの古い証明書または未使用の証明書の削除」を参照してください。

8. CA 署名付き証明書を適用した後、期限切れの証明書と自己署名証明書を NSX Manager から削除します。

VMware Cloud Foundation では、vSphere Certificate Manager ユーティリティを使用して、ワークロード ドメイン vCenter Server の期限切れの証明書を VMCA 署名付き証明書に一時的に置き換えます。

1. Secure Shell (SSH) クライアントを使用して、vCenter Server に root としてログインします。
2. Bash シェルへ切り替えるため、shell コマンドを実行します。
3. 次のコマンドを実行して、vSphere Certificate Manager を起動します。

   /usr/lib/vmware-vmca/bin/certificate-manager
   

4. オプション 3 の「マシンの SSL 証明書の VMCA 証明書での置き換え」を選択します。
5. [email protected] の認証情報を入力します。
6. vCenter Server 証明書を新しい VMCA 署名付き証明書に初めて置き換える場合は、VMCA 署名付き証明書のプロパティを入力し、操作を続行していることを確認します。
   • 2 文字の国名コード
   • 会社名
   • 組織名
   • 部門名
   • 都道府県
   • 市区町村
   • IP アドレス（オプション）
   • メール アドレス
   • ホスト名、すなわち証明書を置き換える vCenter Server マシンの完全修飾ドメイン名 (FQDN)。ホスト名が FQDN と一致しない場合、証明書の置き換えは正しく完了せず、ワークロード ドメインが不安定な状態になる可能性があります。
   • VMCA 名、すなわち証明書の設定を実行している vCenter Server マシンの完全修飾ドメイン名。

   VMCA 署名付き証明書のプロパティは、/usr/lib/vmware-vmca/share/config/certool.cfg ファイルに保存されます。

   操作が完了するまで待機します。

7. 以前にこのワークロード ドメイン vCenter Server で VMCA 署名付き証明書を生成しており、certool.cfg ファイルが使用可能な場合は、certool.cfg ファイルを再構成せず、操作の続行を確認してください。

   操作が完了するまで待機します。

8. SDDC Manager の vCenter Server インスタンスのステータスを確認します。
   1. SDDC Manager (https://<sddc_manager_fqdn>) に 管理者ロールを割り当てられたユーザーとしてログインします。
   2. ナビゲーション ペインで、[インベントリ] > [ワークロード ドメイン] をクリックします。
   3. [ワークロード ドメイン] 画面で、vCenter Server インスタンスが含まれるワークロード ドメインをクリックします。
   4. ワークロード ドメインのサマリ画面で、[証明書] タブをクリックします。
   5. vCenter Server 証明書のステータスがアクティブであることを確認します。
9. SDDC Manager の vCenter Server インスタンスに CA 署名付き証明書をインストールします。 『VMware Cloud Foundation 管理ガイド』の「証明書の管理」を参照してください。

期限切れの SDDC Manager 証明書は、SDDC Manager を使用して置き換えます。

1. SDDC Manager (https://<sddc_manager_fqdn>) に 管理者ロールを割り当てられたユーザーとしてログインします。

   SDDC Manager の証明書の有効期限が切れているため、Web ブラウザに証明書例外を追加します。

2. ナビゲーション ペインで、[インベントリ] > [ワークロード ドメイン] をクリックします。
3. [ワークロード ドメイン] 画面で、管理ドメインをクリックします。
4. ワークロード ドメインのサマリ画面で、[証明書] タブをクリックします。
5. SDDC Manager 証明書を置き換えます。『VMware Cloud Foundation 管理ガイド』の「証明書の管理」を参照してください。

VMware Cloud Foundation の管理コンポーネントのバックアップを定期的に管理すると、データ保護が実行され、ディザスタ リカバリが容易になり、セキュリティとコンプライアンスが強化され、システムの更新がサポートされます。

VMware Cloud Foundation の新しいバージョンに更新するか、パッチ リリースを適用することで、環境内の重要なセキュリティの問題を修正し、新機能を入手できます。効率的なバンドル管理により、アップグレード プロセス中の時間やエラー数も削減されます。