デフォルトでは、VMware Cloud Gateway はインストール時に生成される自己署名証明書を使用します。証明書が期限切れになったとき、または別の証明書プロバイダの証明書を使用するときは、証明書を置き換えることができます。
注: CA 署名証明書のみを使用する必要があります。
手順
- SSH を使用して VMware Cloud Gateway に接続します。
- CA 署名証明書の場合は、次の手順を実行して証明書を生成します。
- コマンド ラインで次のコマンドを入力して、証明書署名リクエスト (CSR) を生成します。
openssl req -new -newkey rsa:4096 -nodes -out server.csr -keyout server.key
- CA の要求プロセスに従って CA に CSR を提供します。
- 認証局 (CA) から証明書を受け取った場合は、VMware Cloud Gateway からアクセスできる場所に証明書を保存してください。
- 既知の CA でない場合は、ルート CA の以下のパラメータが次のように設定されていることを確認します。
X509v3 extensions: X509v3 Basic Constraints: critical CA:TRUE X509v3 Key Usage: critical Digital Signature, Key Encipherment, Certificate Sign, CRL Sign注: エンドポイント/マシン SSL 証明書でキー暗号化を設定します。 - CA から次のファイルを取得します。
- server.key:VMware Cloud Gateway プライベート キー。
- server.crt:CA が署名した VMware Cloud Gateway リーフ証明書とすべての中間 CA 証明書(ある場合)。
- rootCA.pem:証明書チェーン内のルート CA 証明書。
- コマンド ラインで次のコマンドを入力して、証明書署名リクエスト (CSR) を生成します。
- 次のコマンドを入力して、server.pem ファイル(server.crt、すべての中間 CA(ある場合)、プライベート キー (server.key) を含む完全な証明書チェーン)を生成します。
cat server.crt server.key > server.pemserver.pem には、次の順序で詳細を含める必要があります。
---BEGIN CERTIFICATE--- <CERT> ---END CERTIFICATE--- ---BEGIN PRIVATE KEY--- <KEY> ---END PRIVATE KEY---
- 次のコマンドを入力して、既存の server.pem と rootCA.pem を /etc/applmgmt/appliance ディレクトリにバックアップします。
cp -p /etc/applmgmt/appliance/server.pem /etc/applmgmt/appliance/server.pem.bakcp -p /etc/applmgmt/appliance/rootCA.pem /etc/applmgmt/appliance/rootCA.pem.bak
- 次のコマンドを入力して、server.pem と rootCA.pem を新しいファイルで置き換えます。
cp -p server.pem rootCA.pem /etc/applmgmt/appliance/
- 次のサービスを記載順に再起動します。
systemctl restart gps_envoy.servicesystemctl restart aap_envoy.servicesystemctl restart rsyslog.service
- aca_watchdog service を再起動して、実行中のすべての VAP エージェントを再起動します。
systemctl restart aca_watchdog.service
