vSphere Authentication Proxy でのカスタム証明書の使用は、いくつかの手順で構成されます。まず CSR を生成し、署名のために認証局 (CA) に送信します。次に、署名済みの証明書とキー ファイルを、vSphere Authentication Proxy がアクセスできる場所に配置します。

デフォルトでは、vSphere Authentication Proxy が初回起動時に CSR を生成し、それに対する署名を VMCA に依頼します。その証明書を使用して、vSphere Authentication Proxy は、vCenter Server に対する登録を行います。カスタム証明書を vCenter Server に追加すれば、ご利用の環境内でカスタム証明書を使用することができます。

手順

  1. vSphere Authentication Proxy の証明書署名要求の生成
    1. 次の例に従って構成ファイル (/var/lib/vmware/vmcam/ssl/vmcam.cfg) を作成します。
      [ req ]
      distinguished_name = req_distinguished_name
      encrypt_key = no
      prompt = no
      string_mask = nombstr
      req_extensions = v3_req
      [ v3_req ]
      basicConstraints = CA:false
      keyUsage = nonRepudiation, digitalSignature, keyEncipherment
      subjectAltName = DNS:dns.static-1.csl.vmware.com
      [ req_distinguished_name ]
      countryName = IE
      stateOrProvinceName = Cork
      localityName = Cork
      0.organizationName = VMware
      organizationalUnitName = vTSU
      commonName = test-cam-1.test1.vmware.com
    2. openssl を実行して CSR ファイルとキー ファイルを生成し、構成ファイルに渡します。
      openssl req -new -nodes -out vmcam.csr -newkey rsa:2048 -keyout /var/lib/vmware/vmcam/ssl/rui.key -config /var/lib/vmware/vmcam/ssl/vmcam.cfg
  2. rui.crt 証明書と rui.key ファイルをバックアップし、次の場所に保管します。
    OS 場所
    vCenter Server Appliance /var/lib/vmware/vmcam/ssl/rui.crt
    vCenter Server Windows C:\ProgramData\VMware\vCenterServer\data\vmcamd\ssl\rui.crt
  3. vSphere Authentication Proxy の登録を解除します。
    1. camregister スクリプトが配置されているディレクトリに移動します。
      OS コマンド
      vCenter Server Appliance /usr/lib/vmware-vmcam/bin
      vCenter Server Windows C:\ProgramData\VMware\vCenterServer\data\vmcamd\ssl\rui.crt
    2. 次のコマンドを実行します。
      camregister --unregister -a VC_address -u user
      
      user には、 vCenter Server に対する管理者権限を持った vCenter Single Sign-On ユーザーを指定してください。
  4. vSphere Authentication Proxy サービスを停止します。
    ツール 手順
    vSphere Web Client
    1. [管理] をクリックし、[デプロイ][システム構成] をクリックします。
    2. [サービス] をクリックし、[VMware vSphere Authentication Proxy] サービスをクリックして、サービスを停止します。
    CLI
    service-control --stop vmcam
    
  5. 既存の rui.crt 証明書と rui.key ファイルを、CA から受け取ったファイルに置き換えます。
  6. vSphere Authentication Proxy サービスを再起動します。
  7. 新しい証明書とキーを使用して、vSphere Authentication Proxy を vCenter Server に明示的に再登録します。
    camregister --register -a VC_address -u user -c full_path_to_rui.crt -k full_path_to_rui.key