vCloud Usage Meter をデプロイすると、アプライアンスは自己署名 SSL 証明書を生成します。HTTPS 経由で vCloud Usage Meter Web インターフェイスに初めてアクセスした場合は、自己署名証明書を手動で信頼するように求められます。

外部または内部の認証局 (CA) 署名付き証明書を使用して、vCloud Usage Meter の自己署名証明書を置き換えることで、vCloud Usage Meter への接続を保護できます。

すべての vCloud Usage Meter アプリケーションでは、同じキーストアと CA 証明書ストアを実行時に使用します。NGINX 証明書は、OS 起動時に更新されます。特に記載がない限り、vCloud Usage Meter コンソールでは usagemeter としてコマンドを実行できます。

vCloud Usage Meter コンソールとのリモート通信を許可するには、SSH を有効にするか、vSphere Web コンソールでコマンドを呼び出します。

vCloud Usage Meter アプライアンスは、Java キーストアの証明書を /opt/vmware/cloudusagemetering/platform/security/keystore に保存します。

CA 証明書キーストアは、/opt/vmware/cloudusagemetering/platform/security/cacerts にあります。

FIPS モードが有効な vCloud Usage Meter アプライアンス用に内部認証局 (CA) の署名付き証明書をインポート

vCloud Usage Meter の証明書を認証局 (CA) の内部によって署名された証明書に置き換える場合は、まず FIPS モードが有効な vCloud Usage Meter アプライアンスに CA をインポートする必要があります。

前提条件

  • vCloud Usage Meter コンソールに usagemeter としてアクセスできることを確認します。
  • [設定] > [セキュリティ] の順に移動して、vCloud Usage Meter アプライアンスの FIPS が有効になっていることを確認します。

手順

  1. vCloud Usage Meter コンソールに usagemeter としてログインし、すべてのアプライアンス サービスを停止します。 
    cd /opt/vmware/cloudusagemetering
    ./scripts/stop.sh All
    sudo systemctl stop vmware-um-journal.service
    sudo systemctl stop vmware-um-login.service
    sudo systemctl stop vmware-um-schedule.service
  2. 環境変数をエクスポートします。 
    export $(grep -v '^#' "/opt/vmware/cloudusagemetering/platform/conf/env.properties" | xargs)
  3. FIPS モードが有効な vCloud Usage Meter アプライアンスと内部の認証局によって署名された証明書との間の信頼を確立します。
    次のコマンドの [alias] プロパティの下にキーストア内の証明書を識別する名前を入力します。
    注: vCloud Usage Meter アプライアンスで FIPS モードが無効になっている場合は、「 FIPS モードが無効な vCloud Usage Meter アプライアンス用に内部認証局 (CA) の署名付き証明書をインポート」を参照してください。 
    keytool -import -trustcacerts -file filepath-to-the-certificate -alias custom-internal-certificate-authority -keystore /opt/vmware/cloudusagemetering/platform/security/cacerts -storetype BCFKS -providerclass org.bouncycastle.jcajce.provider.BouncyCastleFipsProvider -providerpath /opt/vmware/cloudusagemetering/platform/lib/bc-fips-1.0.2.1.jar -storepass "${TRUST_STORE_PASSWORD}"
  4. FIPS モードを有効にして、vCloud Usage Meter アプライアンスを再起動します。 
    sudo reboot

FIPS モードが無効な vCloud Usage Meter アプライアンス用に内部認証局 (CA) の署名付き証明書をインポート

FIPS モードが無効な vCloud Usage Meter アプライアンスの証明書を内部の認証局 (CA) によって署名された証明書に置き換える場合は、まずアプライアンスに CA をインポートする必要があります。

前提条件

  • vCloud Usage Meter コンソールに usagemeter としてアクセスできることを確認します。
  • [設定] > [セキュリティ] の順に移動して、vCloud Usage Meter アプライアンスの FIPS が無効になっていることを確認します。

手順

  1. vCloud Usage Meter コンソールに usagemeter としてログインし、すべてのアプライアンス サービスを停止します。 
    cd /opt/vmware/cloudusagemetering
    ./scripts/stop.sh All
    sudo systemctl stop vmware-um-journal.service
    sudo systemctl stop vmware-um-login.service
    sudo systemctl stop vmware-um-schedule.service
  2. 環境変数をエクスポートします。 
    export $(grep -v '^#' "/opt/vmware/cloudusagemetering/platform/conf/env.properties" | xargs)
  3. FIPS モードが無効な vCloud Usage Meter アプライアンスと内部の認証局によって署名された証明書との間の信頼を確立します。
    次のコマンドの [alias] プロパティの下にキーストア内の証明書を識別する名前を入力します。 
    keytool -import -trustcacerts -file filepath-to-the-certificate -alias custom-internal-certificate-authority -keystore /opt/vmware/cloudusagemetering/platform/security/cacerts -storepass "${TRUST_STORE_PASSWORD}"
  4. FIPS モードを無効にして、vCloud Usage Meter アプライアンスを再起動します。 
    sudo reboot

FIPS モードが有効な vCloud Usage Meter アプライアンス用に認証局 (CA) の署名付き証明書をインストール

vCloud Usage Meter Web インターフェイスとのセキュアなネットワーク接続を確立するために、FIPS モードが有効な vCloud Usage Meter アプライアンスに CA 署名付きの SSL 証明書をインストールできます。

CA 署名付き証明書とプライベート キーを取得するには、証明書署名リクエストを生成する必要があります。認証局は、リクエストを使用して公式の証明書を生成します。

前提条件

  • vCloud Usage Meter コンソールに usagemeter としてアクセスできることを確認します。
  • 認証局からプライベート キーと署名付き証明書の両方を取得します。いずれのファイルも PEM 形式にする必要があります。
  • [設定] > [セキュリティ] の順に移動して、vCloud Usage Meter アプライアンスの FIPS が有効になっていることを確認します。

手順

  1. 証明書が内部の認証局によって署名されている場合は、まず vCloud Usage Meter アプライアンスに認証局をインポートする必要があります。詳細については、『FIPS モードが有効な vCloud Usage Meter アプライアンス用に内部認証局 (CA) の署名付き証明書をインポート』を参照してください。
  2. vCloud Usage Meter コンソールに usagemeter としてログインし、すべてのアプライアンス サービスを停止します。 
    cd /opt/vmware/cloudusagemetering
    ./scripts/stop.sh All
    sudo systemctl stop vmware-um-journal.service
    sudo systemctl stop vmware-um-login.service
    sudo systemctl stop vmware-um-schedule.service
  3. 環境変数をエクスポートします。 
    export $(grep -v '^#' "/opt/vmware/cloudusagemetering/platform/conf/env.properties" | xargs)
  4. 既存の vCloud Usage Meter アプライアンス証明書をバックアップします。
    1. 既存のキーストアをバックアップします。 
      mv /opt/vmware/cloudusagemetering/platform/security/keystore /opt/vmware/cloudusagemetering/platform/security/keystore.backup
    2. 指定されたエイリアスから、既存のキーストア エントリを destalias パラメータの下にある新しいエイリアスに移動します。
      注: vCloud Usage Meter で FIPS モードが無効になっている場合は、「 FIPS モードが無効な vCloud Usage Meter アプライアンス用に認証局 (CA) の署名付き証明書をインストール」を参照してください。 
      keytool -changealias -alias "usage-meter-platform" -destalias "usage-meter-platform-backup" -keystore /opt/vmware/cloudusagemetering/platform/security/cacerts -storetype BCFKS -providerclass org.bouncycastle.jcajce.provider.BouncyCastleFipsProvider -providerpath /opt/vmware/cloudusagemetering/platform/lib/bc-fips-1.0.2.1.jar -storepass "${TRUST_STORE_PASSWORD}"
  5. CA 署名付き証明書とプライベート キーを vCloud Usage Meter アプライアンスにインポートします。
    1. 一時ディレクトリを作成し、NGINX_FOLDER 環境変数にディレクトリ パスを 設定します。 
      export NGINX_FOLDER=$(mktemp -d)
    2. 一時ディレクトリ内に一時サブディレクトリを 2 個作成します。 
      mkdir ${NGINX_FOLDER}/private
      mkdir ${NGINX_FOLDER}/certs
    3. CA 署名付き証明書を ${NGINX_FOLDER}/certs/ フォルダにアップロードして、ファイル名を nginx-selfsigned.crt に変更します。
    4. CA 署名付きプライベート キーを ${NGINX_FOLDER}/private/ フォルダにアップロードして、ファイル名を nginx-selfsigned.key に変更します。
  6. CA 署名付き証明書の新しいキーストアを作成します。
    注: /opt/vmware/cloudusagemetering ディレクトリにいることを確認します。 
    ./platform/bin/create-keystore.sh
  7. (オプション) すべての一時フォルダとバックアップ フォルダを削除して、古い vCloud Usage Meter の証明書を削除します。 
    rm -rf $NGINX_FOLDER
    rm /opt/vmware/cloudusagemetering/platform/security/keystore.backup
    keytool -delete -alias "usage-meter-platform-backup" -keystore /opt/vmware/cloudusagemetering/platform/security/cacerts -storetype BCFKS -providerclass org.bouncycastle.jcajce.provider.BouncyCastleFipsProvider -providerpath /opt/vmware/cloudusagemetering/platform/lib/bc-fips-1.0.2.1.jar -storepass "${TRUST_STORE_PASSWORD}"
  8. キーストアの権限を構成します。 
    chmod 0640 /opt/vmware/cloudusagemetering/platform/security/keystore
  9. vCloud Usage Meter アプライアンスを再起動します。 
    sudo reboot
    CA 署名付きの SSL 証明書を vCloud Usage Meter アプライアンスに正常にインストールした場合は、 vCloud Usage Meter Web インターフェイスへの次回ログイン時にセキュリティに関する警告は表示されません。

FIPS モードが無効な vCloud Usage Meter アプライアンス用に認証局 (CA) の署名付き証明書をインストール

vCloud Usage Meter Web インターフェイスとのセキュアなネットワーク接続を確立するために、FIPS モードが無効な vCloud Usage Meter アプライアンスに CA 署名付きの SSL 証明書をインストールできます。

CA 署名付き証明書とプライベート キーを取得するには、証明書署名リクエストを生成する必要があります。認証局は、リクエストを使用して公式の証明書を生成します。

前提条件

  • vCloud Usage Meter コンソールに usagemeter としてアクセスできることを確認します。
  • 認証局からプライベート キーと署名付き証明書の両方を取得します。いずれのファイルも PEM 形式にする必要があります。
  • [設定] > [セキュリティ] の順に移動して、vCloud Usage Meter アプライアンスの FIPS が無効になっていることを確認します。

手順

  1. 証明書が内部の認証局によって署名されている場合は、まず FIPS モードが無効な vCloud Usage Meter アプライアンスに認証局をインポートする必要があります。詳細については、『FIPS モードが無効な vCloud Usage Meter アプライアンス用に内部認証局 (CA) の署名付き証明書をインポート』を参照してください。
  2. vCloud Usage Meter コンソールに usagemeter としてログインし、すべてのアプライアンス サービスを停止します。 
    cd /opt/vmware/cloudusagemetering
    ./scripts/stop.sh All
    sudo systemctl stop vmware-um-journal.service
    sudo systemctl stop vmware-um-login.service
    sudo systemctl stop vmware-um-schedule.service
  3. 環境変数をエクスポートします。 
    export $(grep -v '^#' "/opt/vmware/cloudusagemetering/platform/conf/env.properties" | xargs)
  4. 既存の vCloud Usage Meter アプライアンス証明書をバックアップします。
    1. 既存のキーストアをバックアップします。 
      mv /opt/vmware/cloudusagemetering/platform/security/keystore /opt/vmware/cloudusagemetering/platform/security/keystore.backup
    2. 指定されたエイリアスから、既存のキーストア エントリを destalias パラメータの下にある新しいエイリアスに移動します。 
      keytool -changealias -alias "usage-meter-platform" -destalias "usage-meter-platform-backup" -keystore /opt/vmware/cloudusagemetering/platform/security/cacerts -storepass "${TRUST_STORE_PASSWORD}"
  5. FIPS モードが無効な CA 署名付き証明書とプライベート キーを、FIPS モードが無効な vCloud Usage Meter アプライアンスにインポートします。
    1. 一時ディレクトリを作成し、NGINX_FOLDER 環境変数にディレクトリ パスを 設定します。 
      export NGINX_FOLDER=$(mktemp -d)
    2. 一時ディレクトリ内に一時サブディレクトリを 2 個作成します。 
      mkdir ${NGINX_FOLDER}/private
      mkdir ${NGINX_FOLDER}/certs
    3. CA 署名付き証明書を ${NGINX_FOLDER}/certs/ フォルダにアップロードして、ファイル名を nginx-selfsigned.crt に変更します。
    4. CA 署名付きプライベート キーを ${NGINX_FOLDER}/private/ フォルダにアップロードして、ファイル名を nginx-selfsigned.key に変更します。
  6. CA 署名付き証明書の新しいキーストアを作成します。
    注: /opt/vmware/cloudusagemetering ディレクトリにいることを確認します。 
    ./platform/bin/create-keystore.sh
  7. (オプション) すべての一時フォルダとバックアップ フォルダを削除して、古い vCloud Usage Meter の証明書を削除します。 
    rm -rf $NGINX_FOLDER
    rm /opt/vmware/cloudusagemetering/platform/security/keystore.backup
    keytool -delete -alias "usage-meter-platform-backup" -keystore /opt/vmware/cloudusagemetering/platform/security/cacerts -storepass "${TRUST_STORE_PASSWORD}"
  8. キーストアの権限を構成します。 
    chmod 0640 /opt/vmware/cloudusagemetering/platform/security/keystore
  9. FIPS モードを無効にして、vCloud Usage Meter アプライアンスを再起動します。 
    sudo reboot
    CA 署名付きの SSL 証明書を FIPS モードが無効な vCloud Usage Meter アプライアンスに正常にインストールした場合は、 vCloud Usage Meter Web インターフェイスへの次回ログイン時にセキュリティに関する警告は表示されません。

FIPS モードが有効な vCloud Usage Meter アプライアンス用にデフォルト アプライアンスの自己署名 SSL 証明書を新しい自己署名証明書に置き換え

新しい自己署名証明書を生成してインストールすることで、FIPS モードが有効な vCloud Usage Meter アプライアンスのデフォルトの自己署名証明書を置き換えることができます。

前提条件

  • vCloud Usage Meter コンソールに usagemeter としてアクセスできることを確認します。
  • [設定] > [セキュリティ] の順に移動して、vCloud Usage Meter アプライアンスの FIPS が有効になっていることを確認します。

手順

  1. vCloud Usage Meter コンソールに usagemeter としてログインし、すべてのアプライアンス サービスを停止します。 
    cd /opt/vmware/cloudusagemetering
    ./scripts/stop.sh All
    sudo systemctl stop vmware-um-journal.service
    sudo systemctl stop vmware-um-login.service
    sudo systemctl stop vmware-um-schedule.service
  2. 環境変数をエクスポートします。 
    export $(grep -v '^#' "/opt/vmware/cloudusagemetering/platform/conf/env.properties" | xargs)
  3. 既存の vCloud Usage Meter アプライアンス証明書をバックアップします。
    1. 既存のキーストアをバックアップします。 
      mv /opt/vmware/cloudusagemetering/platform/security/keystore /opt/vmware/cloudusagemetering/platform/security/keystore.backup
    2. 指定されたエイリアスから、既存のキーストア エントリを destalias パラメータの下にある新しいエイリアスに移動します。 
      keytool -changealias -alias "usage-meter-platform" -destalias "usage-meter-platform-backup" -keystore /opt/vmware/cloudusagemetering/platform/security/cacerts -storetype BCFKS -providerclass org.bouncycastle.jcajce.provider.BouncyCastleFipsProvider -providerpath /opt/vmware/cloudusagemetering/platform/lib/bc-fips-1.0.2.1.jar -storepass "${TRUST_STORE_PASSWORD}"
  4. 一時ディレクトリを作成し、NGINX_FOLDER 環境変数にディレクトリ パスを 設定します。 
    export NGINX_FOLDER=$(mktemp -d)
  5. 新しい自己署名証明書のキーストアを作成します。
    注: /opt/vmware/cloudusagemetering ディレクトリにいることを確認します。 
    ./platform/bin/create-keystore.sh
  6. (オプション) すべての一時フォルダとバックアップ フォルダを削除して、古い vCloud Usage Meter の証明書を削除します。 
    rm -rf $NGINX_FOLDER
    rm /opt/vmware/cloudusagemetering/platform/security/keystore.backup
    keytool -delete -alias "usage-meter-platform-backup" -keystore /opt/vmware/cloudusagemetering/platform/security/cacerts -storetype BCFKS -providerclass org.bouncycastle.jcajce.provider.BouncyCastleFipsProvider -providerpath /opt/vmware/cloudusagemetering/platform/lib/bc-fips-1.0.2.1.jar -storepass "${TRUST_STORE_PASSWORD}"
  7. キーストアの権限を構成します。 
    chmod 0640 /opt/vmware/cloudusagemetering/platform/security/keystore
  8. FIPS モードを有効にして、vCloud Usage Meter アプライアンスを再起動します。 
    sudo reboot

FIPS モードが無効な vCloud Usage Meter アプライアンス用にデフォルト アプライアンスの自己署名 SSL 証明書を新しい自己署名証明書に置き換え

新しい自己署名証明書を生成してインストールすることで、FIPS モードが無効な vCloud Usage Meter アプライアンスのデフォルトの自己署名証明書を置き換えることができます。

前提条件

  • vCloud Usage Meter コンソールに usagemeter としてアクセスできることを確認します。
  • [設定] > [セキュリティ] の順に移動して、vCloud Usage Meter アプライアンスの FIPS が無効になっていることを確認します。

手順

  1. vCloud Usage Meter コンソールに usagemeter としてログインし、すべてのアプライアンス サービスを停止します。 
    cd /opt/vmware/cloudusagemetering
    ./scripts/stop.sh All
    sudo systemctl stop vmware-um-journal.service
    sudo systemctl stop vmware-um-login.service
    sudo systemctl stop vmware-um-schedule.service
  2. 環境変数をエクスポートします。 
    export $(grep -v '^#' "/opt/vmware/cloudusagemetering/platform/conf/env.properties" | xargs)
  3. 既存の vCloud Usage Meter アプライアンス証明書をバックアップします。
    1. 既存のキーストアをバックアップします。 
      mv /opt/vmware/cloudusagemetering/platform/security/keystore /opt/vmware/cloudusagemetering/platform/security/keystore.backup
    2. 指定されたエイリアスから、既存のキーストア エントリを destalias パラメータの下にある新しいエイリアスに移動します。 
      keytool -changealias -alias "usage-meter-platform" -destalias "usage-meter-platform-backup" -keystore /opt/vmware/cloudusagemetering/platform/security/cacerts -storepass "${TRUST_STORE_PASSWORD}"
  4. 一時ディレクトリを作成し、NGINX_FOLDER 環境変数にディレクトリ パスを 設定します。 
    export NGINX_FOLDER=$(mktemp -d)
  5. 新しい自己署名証明書のキーストアを作成します。
    注: /opt/vmware/cloudusagemetering ディレクトリにいることを確認します。 
    ./platform/bin/create-keystore.sh
  6. (オプション) すべての一時フォルダとバックアップ フォルダを削除して、古い vCloud Usage Meter の証明書を削除します。 
    rm -rf $NGINX_FOLDER
    rm /opt/vmware/cloudusagemetering/platform/security/keystore.backup
    keytool -delete -alias "usage-meter-platform-backup" -keystore /opt/vmware/cloudusagemetering/platform/security/cacerts -storepass "${TRUST_STORE_PASSWORD}"
  7. キーストアの権限を構成します。 
    chmod 0640 /opt/vmware/cloudusagemetering/platform/security/keystore
  8. FIPS モードを無効にして、vCloud Usage Meter アプライアンスを再起動します。 
    sudo reboot

FIPS モードが有効な場合の vCloud Usage Meter アプライアンス キーストアへの証明書のインポート

計測対象に追加するインスタンスが、ロード バランサ、プロキシ、ファイアウォールなどのネットワークおよびセキュリティ構成エンティティを使用している場合や、HTTPS または SMTP over SSL/TLS 経由でプロキシを使用している場合は、証明書を vCloud Usage Meter アプライアンス キーストアにインポートする必要があります。

ネットワークおよびセキュリティ構成エンティティの証明書を vCloud Usage Meter アプライアンス キーストアにインポートするには、トラストストアのパスワードを取得する必要があります。パスワードは、/opt/vmware/cloudusagemetering/conf/env.properties に格納されています。

前提条件

  • vCloud Usage Meter アプライアンスに usagemeter としてアクセスできることを確認します。
  • [設定] > [セキュリティ] の順に移動して、vCloud Usage Meter アプライアンスの FIPS が有効になっていることを確認します。

手順

  1. vCloud Usage Meter コンソールに usagemeter としてログインし、すべてのアプライアンス サービスを停止します。 
    cd /opt/vmware/cloudusagemetering
    ./scripts/stop.sh All
    sudo systemctl stop vmware-um-journal.service
    sudo systemctl stop vmware-um-login.service
    sudo systemctl stop vmware-um-schedule.service
  2. 環境変数から trustore パスワードを抽出するには、次のコマンドを実行します。 
    export $(grep -v '^#' "/opt/vmware/cloudusagemetering/platform/conf/env.properties" | xargs)
  3. 証明書を vCloud Usage Meter アプライアンス キーストアにインポートするには、次のコマンドを実行します。 
    keytool -import -trustcacerts -alias certificate-alias -file certificate-file -keystore  /opt/vmware/cloudusagemetering/resources/cacerts -storetype bcfks -storepass "${TRUST_STORE_PASSWORD}" -providername BCFIPS -providerclass org.bouncycastle.jcajce.provider.BouncyCastleFipsProvider -providerpath /opt/vmware/cloudusagemetering/jars/bc-fips-*.jar
  4. FIPS モードを有効にして、vCloud Usage Meter アプライアンスを再起動します。 
    sudo reboot

FIPS モードが無効な場合の vCloud Usage Meter アプライアンス キーストアへの証明書のインポート

計測対象に追加するインスタンスが、ロード バランサ、プロキシ、ファイアウォールなどのネットワークおよびセキュリティ構成エンティティを使用している場合や、HTTPS または SMTP over SSL/TLS 経由でプロキシを使用し、アプライアンスで FIPS モードが無効になっている場合は、証明書を vCloud Usage Meter アプライアンス キーストアにインポートする必要があります。

ネットワークおよびセキュリティ構成エンティティの証明書を vCloud Usage Meter アプライアンス キーストアにインポートするには、トラストストアのパスワードを取得する必要があります。パスワードは、/opt/vmware/cloudusagemetering/conf/env.properties に格納されています。

前提条件

  • vCloud Usage Meter アプライアンスに usagemeter としてアクセスできることを確認します。
  • [設定] > [セキュリティ] の順に移動して、vCloud Usage Meter アプライアンスの FIPS が無効になっていることを確認します。

手順

  1. vCloud Usage Meter コンソールに usagemeter としてログインし、すべてのアプライアンス サービスを停止します。 
    cd /opt/vmware/cloudusagemetering
    ./scripts/stop.sh All
    sudo systemctl stop vmware-um-journal.service
    sudo systemctl stop vmware-um-login.service
    sudo systemctl stop vmware-um-schedule.service
  2. 環境変数から trustore パスワードを抽出するには、次のコマンドを実行します。 
    export $(grep -v '^#' "/opt/vmware/cloudusagemetering/platform/conf/env.properties" | xargs)
  3. 証明書を vCloud Usage Meter アプライアンス キーストアにインポートするには、次のコマンドを実行します。 
    keytool -import -trustcacerts -alias certificate-alias -file certificate-file -keystore  /opt/vmware/cloudusagemetering/resources/cacerts -storepass "${TRUST_STORE_PASSWORD}"
  4. FIPS モードを無効にして、vCloud Usage Meter アプライアンスを再起動します。 
    sudo reboot