NSX Advanced Load Balancer のデフォルトの証明書は自己署名されています。このセクションでは、証明書の有効期限が切れた場合、または間もなく期限切れになる場合にデフォルトの証明書を置き換える方法について説明します。次の手順を使用して、自己署名証明書をサードパーティの署名付き証明書に置き換えることができます。

前提条件

OpenSSL 1.1.x 以降。

NSX Advanced Load Balancer ユーザー インターフェイスを使用した構成

  • [テンプレート] > [セキュリティ] > [SSL/TLS 証明書] の順に移動し、System-Default-Cert エントリの [エクスポート] アイコン(右側)をクリックします。



  • [クリップボードにコピー] オプションを使用して、[キー] フィールドと [証明書] フィールドのデータを 2 つの新しいファイルにコピーします。新しいファイルにそれぞれ system-default.keysystem-default.cer という名前を付けます。



OpenSSL を使用した構成

  • OpenSSL で次のコマンドを実行して、証明書の有効期限を確認します。

    openssl x509 -in system-default.cer -noout -enddate
  • 次のコマンドを実行して、system-default.key を使用して新しい CSR を生成します。

    openssl req -new -key system-default.key -out system-default.csr
  • 次のコマンドを実行して、新しい有効期限の新しい証明書を生成します。この例では、新しい証明書の名前は system-default2.cer です。

    openssl x509 -req -days 365 -in system-default.csr -signkey system-default.key -out system-default2.cer
    
  • 新しい証明書 (system-default2.cer) の有効期限を確認します。

    openssl x509 -in system-default2.cer -noout -enddate

NSX Advanced Load Balancer CLI とユーザー インターフェイスを使用した構成

  • system-default2.cersystem-default.key をコントローラにコピーします。

    オプションの手順:次の手順を実行する前に、System-Default-Cert を使用するように構成されている仮想サービスを無効にすることができます。

  • CLI にログインし、次のコマンドを実行して、NSX Advanced Load Balancer (System-Default-Cert) でデフォルト証明書の変更を実行します。

    [admin:cntrl1]: > configure sslkeyandcertificate System-Default-Cert
  • certificate コマンドを実行し、[Enter] キーを押します。証明書ファイル <path to system-default2.cer>/system-default2.cer を実行します。save コマンドを入力して変更を保存します。

    [admin-cntrl1]: sslkeyandcertificate> certificate
    [admin-cntrl1]: sslkeyandcertificate:certificate> certificate file:<path to system-default2.cer>/system-default2.cer
    [admin-cntrl1]: sslkeyandcertificate> save
    
  • キー ファイル <path to system-default.key>/system-default.key を入力します。save コマンドを入力します。

    [admin-cntrl1]: sslkeyandcertificate> key file:<path to system-default.key>/system-default.key
    [admin-cntrl1]: sslkeyandcertificate> save
    
  • 変更前に無効にされていた仮想サービスを有効にします(オプション)。

  • ユーザー インターフェイスにログインし、[テンプレート] > [セキュリティ] > [SSL/TLS 証明書] の順に移動し、更新された証明書の有効期限を確認します。