vSphere Bitfusion 4.5.2 以降では、CLI コマンドと vSphere Bitfusion プラグインを使用して、vSphere Bitfusion サーバおよびクライアントの証明書を更新できます。

vSphere Bitfusion サーバの最初の仮想マシンが vSphere Bitfusion クラスタに参加すると、認証局 (CA) ペア キーが生成されます。証明書により、すべてのクライアントとサーバ間、サーバ間、サーバとデータベース間、およびデータベース間の接続が認証されます。クラスタに参加するすべての後続のサーバは、証明書を読み取り、プライマリ サーバの CA でペア キーに署名します。冗長性を確保するため、 vSphere Bitfusion は、プライマリ サーバが失敗した場合などに認証局情報を Apache Cassandra データベースに保存します。
注: vSphere Bitfusion 4.5.2 以降では、証明書のデフォルトの有効期間が 20 年に延長されています。 vSphere Bitfusion 4.5.1 以前の場合、証明書は 1 年後に期限切れになります。
vSphere Bitfusion サーバおよびクライアントの証明書を更新するには、次の手順を実行します。

手順

  1. サーバ証明書を作成します。
    1. ターミナル アプリケーションを開き、ssh customer@ip_address コマンドを実行します。ここで、ip_address はプライマリ vSphere Bitfusion サーバの IP アドレスです。
      vSphere Bitfusion プラグインから vSphere Bitfusion サーバの IP アドレスを取得できます。
    2. プライマリ vSphere Bitfusion サーバのデプロイ時に指定したユーザー パスワードを入力します。
    3. サーバ 証明書を生成するには、sudo bitfusion tls-certs gen コマンドを実行します。
      ca.crt.xxx および ca.key.Xxx 証明書ファイルが /etc/bitfusion/tls/ フォルダで生成されます。ここで xxx はファイル名のサフィックスです。たとえば、 ca.key.20220408-202701 および ca.crt.20220408-202701 などです。
  2. 証明書をプライマリ vSphere Bitfusion サーバから後続のすべてのサーバにコピーします。
    1. プライマリ vSphere Bitfusion サーバから、次のコマンドを実行して証明書ファイルをローカル マシンにコピーします。ここで、ip_address_primary はプライマリ vSphere Bitfusion サーバの IP アドレスで、xxx はファイル名のサフィックスです。 
      scp customer@ip_address_primary:ca.crt.xxx .
scp customer@ip_address_primary:ca.key.xxx .
    2. ローカル マシンから、次のコマンドを実行してローカル マシンにある証明書ファイルを後続の vSphere Bitfusion サーバにコピーします。ここで、ip_address_subsequent は後続の vSphere Bitfusion サーバの IP アドレスで、xxx はファイル名のサフィックスです。 
      scp ca.crt.xxx customer@ip_address_subsequent:~/
scp ca.key.xxx customer@ip_address_subsequent:~/
  3. 証明書をすべての後続の vSphere Bitfusion サーバにインポートします。
    1. ターミナル アプリケーションを開き、ssh customer@ip_address コマンドを実行します。ここで、ip_address は後続の vSphere Bitfusion サーバの IP アドレスです。
      vSphere Bitfusion プラグインから vSphere Bitfusion サーバの IP アドレスを取得できます。
    2. 後続の vSphere Bitfusion サーバのデプロイ時に指定したユーザー パスワードを入力します。
    3. 証明書をインポートするには、sudo bitfusion tls-certs import --cakeypath ca.key.xxx --cacertpath ca.crt.xxx を実行します。ここで、ca.key.xxx および ca.crt.xxx は証明書のファイルで、xxx はファイル名のサフィックスです。
      たとえば、 sudo bitfusion tls-certs import --cakeypath ca.key.20220408-202701 --cacertpath ca.crt.20220408-202701 を実行します。
  4. sudo systemctl restart bitfusion コマンドを実行して、vSphere Bitfusion サーバを再起動します。
    クラスタ内のすべての vSphere Bitfusion サーバでサービスを再起動する必要があります。
  5. クライアント証明書を更新します。
    1. vSphere Client[メニュー(vSphere Client メニュー アイコン)] > [[Bitfusion]] の順に選択します。
    2. [設定] タブで [クライアント証明書の更新] を展開します。
    3. [証明書の更新] を選択します。
  6. vSphere Bitfusion クライアントをベア メタル マシンにインストールした場合、証明書を手動で更新します。
    次のコマンドでは、 ip_address_servervSphere Bitfusion サーバの IP アドレス、 ip_address_clientvSphere Bitfusion クライアントの IP アドレス、 xxx はファイル名のサフィックスです。
    1. ローカル マシンで、ca.crt.xxx ファイルを vSphere Bitfusion サーバからクライアントにコピーします。 
      scp customer@ip_address_server:ca.crt.xxx .
scp ca.crt.xxx customer@ip_address_client:~/
    2. クライアント マシンのターミナルで、ca.crt.xxx ファイルを /etc/bitfusion/tls/ フォルダに移動します。 
      ssh customer@ip_address_client "sudo chown bitfusion:bitfusion ca.crt.xxx; sudo chmod 640 ca.crt.xxx; sudo cp ca.crt.xxx /etc/bitfusion/tls/ca.crt"

結果

クラスタ内のすべての vSphere Bitfusion サーバおよびクライアントの証明書が更新されました。新しい証明書は 20 年で期限切れになります。