vSphere Authentication Proxy でのカスタム証明書の使用は、いくつかの手順で構成されます。まず CSR を生成し、署名のために認証局 (CA) に送信します。次に、署名済みの証明書とキー ファイルを、vSphere Authentication Proxy がアクセスできる場所に配置します。
デフォルトでは、vSphere Authentication Proxy が初回起動時に CSR を生成し、それに対する署名を VMCA に依頼します。その証明書を使用して、vSphere Authentication Proxy は、vCenter Server に対する登録を行います。カスタム証明書を vCenter Server に追加すれば、ご利用の環境内でカスタム証明書を使用することができます。
手順
- vSphere Authentication Proxy の証明書署名要求の生成
- 次の例に従って構成ファイル (/var/lib/vmware/vmcam/ssl/vmcam.cfg) を作成します。
[ req ]
distinguished_name = req_distinguished_name
encrypt_key = no
prompt = no
string_mask = nombstr
req_extensions = v3_req
[ v3_req ]
basicConstraints = CA:false
keyUsage = nonRepudiation, digitalSignature, keyEncipherment
subjectAltName = DNS:dns.static-1.csl.vmware.com
[ req_distinguished_name ]
countryName = IE
stateOrProvinceName = Cork
localityName = Cork
0.organizationName = VMware
organizationalUnitName = vTSU
commonName = test-cam-1.test1.vmware.com
- openssl を実行して CSR ファイルとキー ファイルを生成し、構成ファイルに渡します。
openssl req -new -nodes -out vmcam.csr -newkey rsa:2048 -keyout /var/lib/vmware/vmcam/ssl/rui.key -config /var/lib/vmware/vmcam/ssl/vmcam.cfg
- rui.crt 証明書と rui.key ファイルをバックアップし、次の場所に保管します。
OS |
場所 |
vCenter Server Appliance |
/var/lib/vmware/vmcam/ssl/rui.crt |
vCenter Server Windows |
C:\ProgramData\VMware\vCenterServer\data\vmcamd\ssl\rui.crt |
- vSphere Authentication Proxy の登録を解除します。
- camregister スクリプトが配置されているディレクトリに移動します。
OS |
コマンド |
vCenter Server Appliance |
/usr/lib/vmware-vmcam/bin |
vCenter Server Windows |
C:\ProgramData\VMware\vCenterServer\data\vmcamd\ssl\rui.crt |
- 次のコマンドを実行します。
camregister --unregister -a VC_address -u user
user には、
vCenter Server に対する管理者権限を持った vCenter Single Sign-On ユーザーを指定してください。
- vSphere Authentication Proxy サービスを停止します。
ツール |
手順 |
vSphere Web Client |
- [管理] をクリックし、[デプロイ] の [システム構成] をクリックします。
- [サービス] をクリックし、[VMware vSphere Authentication Proxy] サービスをクリックして、サービスを停止します。
|
CLI |
service-control --stop vmcam
|
- 既存の rui.crt 証明書と rui.key ファイルを、CA から受け取ったファイルに置き換えます。
- vSphere Authentication Proxy サービスを再起動します。
- 新しい証明書とキーを使用して、vSphere Authentication Proxy を vCenter Server に明示的に再登録します。
camregister --register -a VC_address -u user -c full_path_to_rui.crt -k full_path_to_rui.key