vSphere Authentication Proxy でのカスタム証明書の使用は、いくつかの手順で構成されます。まず CSR を生成し、署名のために認証局 (CA) に送信します。次に、署名済みの証明書とキー ファイルを、vSphere Authentication Proxy がアクセスできる場所に配置します。
デフォルトでは、vSphere Authentication Proxy が初回起動時に CSR を生成し、それに対する署名を VMCA に依頼します。その証明書を使用して、vSphere Authentication Proxy は、vCenter Server に対する登録を行います。カスタム証明書を vCenter Server に追加すれば、ご利用の環境内でカスタム証明書を使用することができます。
手順
- vSphere Authentication Proxy の証明書署名要求の生成
- 次の例に従って構成ファイル (/var/lib/vmware/vmcam/ssl/vmcam.cfg) を作成します。
[ req ] distinguished_name = req_distinguished_name encrypt_key = no prompt = no string_mask = nombstr req_extensions = v3_req [ v3_req ] basicConstraints = CA:false keyUsage = nonRepudiation, digitalSignature, keyEncipherment subjectAltName = DNS:dns.static-1.csl.vmware.com [ req_distinguished_name ] countryName = IE stateOrProvinceName = Cork localityName = Cork 0.organizationName = VMware organizationalUnitName = vTSU commonName = test-cam-1.test1.vmware.com
- openssl を実行して CSR ファイルとキー ファイルを生成し、構成ファイルに渡します。
openssl req -new -nodes -out vmcam.csr -newkey rsa:2048 -keyout /var/lib/vmware/vmcam/ssl/rui.key -config /var/lib/vmware/vmcam/ssl/vmcam.cfg
- 次の例に従って構成ファイル (/var/lib/vmware/vmcam/ssl/vmcam.cfg) を作成します。
- rui.crt 証明書と rui.key ファイルをバックアップし、次の場所に保管します。
OS 場所 vCenter Server Appliance /var/lib/vmware/vmcam/ssl/rui.crt vCenter Server Windows C:\ProgramData\VMware\vCenterServer\data\vmcamd\ssl\rui.crt - vSphere Authentication Proxy の登録を解除します。
- camregister スクリプトが配置されているディレクトリに移動します。
OS コマンド vCenter Server Appliance /usr/lib/vmware-vmcam/bin vCenter Server Windows C:\Program Files\VMware\vCenter Server\vmcamd - 次のコマンドを実行します。
camregister --unregister -a VC_address -u user
user には、 vCenter Server に対する管理者権限を持った vCenter Single Sign-On ユーザーを指定してください。
- camregister スクリプトが配置されているディレクトリに移動します。
- vSphere Authentication Proxy サービスを停止します。
ツール 手順 vCenter Server Appliance 管理インターフェイス (VAMI) - Web ブラウザで、vCenter Server Appliance 管理インターフェイス (https:// appliance-IP-address-or-FQDN:5480) に移動します。
- root としてログインします。
デフォルトの root パスワードは、vCenter Server Appliance のデプロイ時に設定したパスワードです。
- [サービス] をクリックし、[VMware vSphere Authentication Proxy サービス] をクリックします。
- [停止] をクリックします。
vSphere Web Client - [管理] を選択し、[デプロイ] で [システム構成] をクリックします。
- [サービス] をクリックし、[VMware vSphere Authentication Proxy] サービスをクリックして、赤色の [サービスを停止します] アイコンをクリックします。
CLI service-control --stop vmcam
- 既存の rui.crt 証明書と rui.key ファイルを、CA から受け取ったファイルに置き換えます。
- vSphere Authentication Proxy サービスを再起動します。
- 新しい証明書とキーを使用して、vSphere Authentication Proxy を vCenter Server に明示的に再登録します。
camregister --register -a VC_address -u user -c full_path_to_rui.crt -k full_path_to_rui.key