vSphere Authentication Proxy でのカスタム証明書の使用は、いくつかの手順で構成されます。まず CSR を生成し、署名のために認証局 (CA) に送信します。次に、署名済みの証明書とキー ファイルを、vSphere Authentication Proxy がアクセスできる場所に配置します。

デフォルトでは、vSphere Authentication Proxy が初回起動時に CSR を生成し、それに対する署名を VMCA に依頼します。その証明書を使用して、vSphere Authentication Proxy は、vCenter Server に対する登録を行います。カスタム証明書を vCenter Server に追加すれば、ご利用の環境内でカスタム証明書を使用することができます。

手順

  1. vSphere Authentication Proxy の証明書署名要求の生成
    1. 次の例に従って構成ファイル (/var/lib/vmware/vmcam/ssl/vmcam.cfg) を作成します。
      [ req ]
      distinguished_name = req_distinguished_name
      encrypt_key = no
      prompt = no
      string_mask = nombstr
      req_extensions = v3_req
      [ v3_req ]
      basicConstraints = CA:false
      keyUsage = nonRepudiation, digitalSignature, keyEncipherment
      subjectAltName = DNS:vcenter1.example.com
      [ req_distinguished_name ]
      countryName = US
      stateOrProvinceName = NY
      localityName = New York
      0.organizationName = Example Inc.
      organizationalUnitName = IT Org
      commonName = vcenter1.example.com

      次の点に注意してください。

      • subjectAltName:DNS:FQDN_of_vCenter_Appliance_to_use_the_CA-signed certificate という形式を使用します。
      • commonName:subjectAltName で使用されている vCenter Server Appliance と同じ FQDN を使用します。
    2. openssl を実行して CSR ファイルとキー ファイルを生成し、構成ファイルに渡します。
      openssl req -new -nodes -out vmcam.csr -newkey rsa:2048 -keyout /var/lib/vmware/vmcam/ssl/rui.key -config /var/lib/vmware/vmcam/ssl/vmcam.cfg
  2. rui.crt 証明書と rui.key ファイルをバックアップし、次の場所に保管します。
    /var/lib/vmware/vmcam/ssl/rui.crt
  3. vSphere Authentication Proxy の登録を解除します。
    1. camregister スクリプトが保存されている /usr/lib/vmware-vmcam/bin ディレクトリに移動します。
    2. 次のコマンドを実行します。
      camregister --unregister -a VC_address -u user
      
      user には、 vCenter Server に対する管理者権限を持った vCenter Single Sign-On ユーザーを指定してください。
  4. vSphere Authentication Proxy サービスを停止します。
    ツール 手順
    vCenter Server 設定管理インターフェイス
    1. Web ブラウザで、vCenter Server 設定管理インターフェイス (https://vcenter-IP-address-or-FQDN:5480) に移動します。
    2. root としてログインします。

      デフォルトの root パスワードは、vCenter Server のデプロイ時に設定したパスワードです。

    3. [サービス] をクリックし、[VMware vSphere Authentication Proxy] をクリックします。
    4. [停止] をクリックします。
    CLI
    service-control --stop vmcam
    
  5. 既存の rui.crt 証明書と rui.key ファイルを、CA から受け取ったファイルに置き換えます。
  6. vSphere Authentication Proxy サービスを再起動します。
  7. 新しい証明書とキーを使用して、vSphere Authentication Proxy を vCenter Server に明示的に再登録します。
    camregister --register -a VC_address -u user -c full_path_to_rui.crt -k full_path_to_rui.key