vSphere Authentication Proxy でカスタム証明書を使用するための設定

vSphere Authentication Proxy でのカスタム証明書の使用は、いくつかの手順で構成されます。まず CSR を生成し、署名のために認証局 (CA) に送信します。次に、署名済みの証明書とキーファイルを、vSphere Authentication Proxy がアクセスできる場所に配置します。

デフォルトでは、vSphere Authentication Proxy が初回起動時に CSR を生成し、それに対する署名を VMCA に依頼します。その証明書を使用して、vSphere Authentication Proxy は、vCenter Server に対する登録を行います。カスタム証明書を vCenter Server に追加すれば、ご利用の環境内でカスタム証明書を使用することができます。

手順

vSphere Authentication Proxy の証明書署名要求の生成

次の例に従って構成ファイル (/var/lib/vmware/vmcam/ssl/vmcam.cfg) を作成します。

[ req ]
distinguished_name = req_distinguished_name
encrypt_key = no
prompt = no
string_mask = nombstr
req_extensions = v3_req
[ v3_req ]
basicConstraints = CA:false
keyUsage = nonRepudiation, digitalSignature, keyEncipherment
subjectAltName = DNS:vcenter1.example.com
[ req_distinguished_name ]
countryName = US
stateOrProvinceName = NY
localityName = New York
0.organizationName = Example Inc.
organizationalUnitName = IT Org
commonName = vcenter1.example.com

次の点に注意してください。

subjectAltName：DNS:FQDN_of_vCenter_Appliance_to_use_the_CA-signed certificate という形式を使用します。
commonName：subjectAltName で使用されている vCenter Server Appliance と同じ FQDN を使用します。

openssl を実行して CSR ファイルとキーファイルを生成し、構成ファイルに渡します。

openssl req -new -nodes -out vmcam.csr -newkey rsa:2048 -keyout /var/lib/vmware/vmcam/ssl/rui.key -config /var/lib/vmware/vmcam/ssl/vmcam.cfg

rui.crt 証明書と rui.key ファイルをバックアップし、次の場所に保管します。
/var/lib/vmware/vmcam/ssl/rui.crt
vSphere Authentication Proxy の登録を解除します。
1. camregister スクリプトが保存されている /usr/lib/vmware-vmcam/bin ディレクトリに移動します。
2. 次のコマンドを実行します。
```
camregister --unregister -a VC_address -u user
```
  user には、 vCenter Server に対する管理者権限を持った vCenter Single Sign-On ユーザーを指定してください。

vSphere Authentication Proxy サービスを停止します。

ツール	手順
vCenter Server 設定管理インターフェイス	Web ブラウザで、vCenter Server 設定管理インターフェイス (https://`vcenter-IP-address-or-FQDN`:5480) に移動します。 root としてログインします。デフォルトの root パスワードは、vCenter Server のデプロイ時に設定したパスワードです。 [サービス] をクリックし、[VMware vSphere Authentication Proxy] をクリックします。 [停止] をクリックします。
CLI	service-control --stop vmcam

ツール

手順

vCenter Server 設定管理インターフェイス

Web ブラウザで、vCenter Server 設定管理インターフェイス (https://vcenter-IP-address-or-FQDN:5480) に移動します。
root としてログインします。
デフォルトの root パスワードは、vCenter Server のデプロイ時に設定したパスワードです。
[サービス] をクリックし、[VMware vSphere Authentication Proxy] をクリックします。
[停止] をクリックします。

CLI

service-control --stop vmcam

既存の rui.crt 証明書と rui.key ファイルを、CA から受け取ったファイルに置き換えます。
vSphere Authentication Proxy サービスを再起動します。
新しい証明書とキーを使用して、vSphere Authentication Proxy を vCenter Server に明示的に再登録します。
```
camregister --register -a VC_address -u user -c full_path_to_rui.crt -k full_path_to_rui.key
```