vSphere Authentication Proxy でのカスタム証明書の使用は、いくつかの手順で構成されます。まず CSR を生成し、署名のために認証局 (CA) に送信します。次に、署名済みの証明書とキー ファイルを、vSphere Authentication Proxy がアクセスできる場所に配置します。
デフォルトでは、vSphere Authentication Proxy が初回起動時に CSR を生成し、それに対する署名を VMCA に依頼します。その証明書を使用して、vSphere Authentication Proxy は、vCenter Server に対する登録を行います。カスタム証明書を vCenter Server に追加すれば、ご利用の環境内でカスタム証明書を使用することができます。
手順
- vSphere Authentication Proxy の証明書署名要求の生成
- 次の例に従って構成ファイル (/var/lib/vmware/vmcam/ssl/vmcam.cfg) を作成します。
[ req ]
distinguished_name = req_distinguished_name
encrypt_key = no
prompt = no
string_mask = nombstr
req_extensions = v3_req
[ v3_req ]
basicConstraints = CA:false
keyUsage = nonRepudiation, digitalSignature, keyEncipherment
subjectAltName = DNS:vcenter1.example.com
[ req_distinguished_name ]
countryName = US
stateOrProvinceName = NY
localityName = New York
0.organizationName = Example Inc.
organizationalUnitName = IT Org
commonName = vcenter1.example.com
次の点に注意してください。
- subjectAltName:DNS:FQDN_of_vCenter_Appliance_to_use_the_CA-signed certificate という形式を使用します。
- commonName:subjectAltName で使用されている vCenter Server Appliance と同じ FQDN を使用します。
- openssl を実行して CSR ファイルとキー ファイルを生成し、構成ファイルに渡します。
openssl req -new -nodes -out vmcam.csr -newkey rsa:2048 -keyout /var/lib/vmware/vmcam/ssl/rui.key -config /var/lib/vmware/vmcam/ssl/vmcam.cfg
- rui.crt 証明書と rui.key ファイルをバックアップし、次の場所に保管します。
/var/lib/vmware/vmcam/ssl/rui.crt
- vSphere Authentication Proxy の登録を解除します。
- camregister スクリプトが保存されている /usr/lib/vmware-vmcam/bin ディレクトリに移動します。
- 次のコマンドを実行します。
camregister --unregister -a VC_address -u user
user には、
vCenter Server に対する管理者権限を持った vCenter Single Sign-On ユーザーを指定してください。
- vSphere Authentication Proxy サービスを停止します。
ツール |
手順 |
vCenter Server 設定管理インターフェイス |
- Web ブラウザで、vCenter Server 設定管理インターフェイス (https://vcenter-IP-address-or-FQDN:5480) に移動します。
- root としてログインします。
デフォルトの root パスワードは、vCenter Server のデプロイ時に設定したパスワードです。
- [サービス] をクリックし、[VMware vSphere Authentication Proxy] をクリックします。
- [停止] をクリックします。
|
CLI |
service-control --stop vmcam
|
- 既存の rui.crt 証明書と rui.key ファイルを、CA から受け取ったファイルに置き換えます。
- vSphere Authentication Proxy サービスを再起動します。
- 新しい証明書とキーを使用して、vSphere Authentication Proxy を vCenter Server に明示的に再登録します。
camregister --register -a VC_address -u user -c full_path_to_rui.crt -k full_path_to_rui.key