Horizon Universal Console コンソールの [ポッド証明書のアップロード] ワークフローを実行して、Horizon Cloud ポッドのマネージャ仮想マシンで SSL 証明書を構成するための前提条件

[ポッド証明書のアップロード] ワークフローを実行する前に、これらの前提条件を満たしていることを確認します。[ポッド証明書のアップロード] ウィンドウの条件を満たし、ワークフローを正常に完了するには、以下で説明する証明書関連のファイルが必要です。

注目: これらの証明書に SHA-1 ハッシュ関数を使用することはサポートされていません。

DNS サーバ

DNS サーバで、完全修飾ドメイン名 (FQDN) を、ポッドの詳細ページに表示され、[ポッドマネージャロードバランサの IP アドレス] とラベル付けされた IP アドレスにマッピングします。[キャパシティ] ページからポッド名をクリックすると、ポッドの詳細ページに移動できます。

[ポッドマネージャロードバランサの IP アドレス] ラベルの横に表示される IP アドレスの意味については、Horizon Cloud ポッドのマネージャ仮想マシンでの SSL 証明書の構成の概要（主にシングルポッドブローカ環境でポッドを使用する Workspace ONE Access Connector で使用）を参照してください。

この FQDN は、次のセクションで説明するように SSL 証明書ファイルを取得するときに使用します。

SSL 証明書ファイル

コンソールの [ポッド証明書のアップロード] ウィンドウでは、3 つの異なる相互関連ファイルを指定する必要があります。

次のスクリーンショットは、3 つのファイルを指定する [ポッド証明書のアップロード] ウィンドウがどのように表示されるかを示しています。

ファイルが追加される場所を緑色の矢印で示した [ポッド証明書のアップロード] ウィンドウを示すスクリーンショット。

次のリストでは、上記のように、コンソールウィンドウで使用されるラベルに関連するファイルについて説明します。

CA 証明書ファイル (CA.crt): この CA.crt ファイルは、認証局 (CA) によって発行されます。このファイルは、以下で説明する他の 2 つのファイルの信頼性を確認するために使用されます。
SSL 証明書ファイル (SSL.crt): このファイルは、RSA 暗号化アルゴリズムを使用したデータの暗号化に使用されるパブリックキーファイルです。ポッドマネージャインスタンスは、シングルポッドブローカとポッドマネージャと通信する Workspace ONE Access コネクタを使用するシナリオで、この SSL.crt ファイルを使用してポッドマネージャインスタンスによって送信されるデータを暗号化します。（このユースケースについては、「 Horizon Cloud ポッドのマネージャ仮想マシンでの SSL 証明書の構成の概要（主にシングルポッドブローカ環境でポッドを使用する Workspace ONE Access Connector で使用）」ページで説明します。）
SSL キーファイル (.key): このファイルは、RSA 暗号化アルゴリズムを使用して、上記の SSL.crt パブリックキーファイルによって暗号化されたデータの復号化に使用されるプライベートキーファイルです。

ファイル要件

ファイルが次の要件を満たしていることを確認します。

有効な信頼された SSL 証明書は、DNS サーバでポッドマネージャのロードバランサ IP アドレスにマッピングした FQDN に基づいています。
このアップロードの CA 証明書ファイル (CA.crt) と SSL 証明書ファイル (SSL.crt) は PEM 形式です。PEM 形式とは X.509 証明書を BASE64 でエンコードした DER 表現です。どちらも .crt 拡張子を持つ必要があります。
次のブロックは、ファイルの内容がどのように表示されるかの例です。
```
-----BEGIN CERTIFICATE----- 
MIIFejCCA2KgAwIBAgIDAIi/MA0GCSqG 
............... 
-----END CERTIFICATE-----
```
プライベートキーファイル (.key) にパスワードまたはパスフレーズが関連付けられていないことを確認します。次のブロックは、ファイルの内容がどのように表示されるかの例です。
```
-----BEGIN RSA PRIVATE KEY -----
MIIEpQIBAAKCAQEAoJmURboiFut+R34CNFibb9fjtI+cpDarUzqe8oGKFzEE/jmj
...................... 
-----END RSA PRIVATE KEY-----
```
証明書ファイルは、SHA-1 より新しいハッシュ関数を使用する必要があります。ポッドマネージャインスタンスでの SHA-1 証明書の使用はサポートされていません。
CA 証明書ファイルに関連する特別な考慮事項の次のセクションを確認し、CA 証明書ファイルがチェーンルート CA タイプの場合は、説明されている要件が満たされていることを確認します。

CA 証明書ファイル - 特別な考慮事項

CA 証明書ファイルは、信頼できる認証局 (CA) によって発行されている必要があります。

その結果、CA.crt ファイルの生成は、使用する CA によって異なります。たとえば、一般的な CA には、DigiCert、Verisign、Google などがあります。

使用する CA によっては、次のいずれかのタイプが提供される場合があります。

単一ルート CA 証明書: このタイプでは、CA は証明書に直接署名します。
チェーンルート CA 証明書: このタイプでは、ルート認証局と一緒に 1 つ以上のサードパーティの修正認証局が関与します。

CA 証明書ファイルに 1 つ以上の中間証明書認証局が含まれている場合は、CA.crt ファイルに中間証明書とルート CA が含まれている必要があります。ファイルは、先頭の中間証明書で始まり、ファイルの下部にルート証明書が含まれている必要があります。

次の手順

ポッドのマネージャ仮想マシンで SSL 証明書を構成する手順については、コネクタがポッドマネージャ仮想マシンへの接続を信頼できるように、Workspace ONE Access コネクタアプライアンスを Microsoft Azure の Horizon Cloud ポッドと統合する場合には、ポッドマネージャ仮想マシンで SSL 証明書を直接構成します。を参照してください。

ポッドマニフェストが 3139.x より低い場合は、手順を実行する前に VMware サポートに連絡してガイダンスを確認してください。不正なまたは不適切な形式の SSL 証明書ファイルをアップロードしてポッドに保存すると、ポッドへのアクセスが失われる可能性があり、サービスの「デフォルトのバックアップとリストア」には 3139.x 以降のマニフェストが必要であるため、ポッド証明書のアップロードワークフローを実行する前に、ポッドマニフェストが 3139.x 未満の場合は、VMware のサポートまでお問い合わせください。