vCloud Usage Meter をデプロイすると、アプライアンスは自己署名 SSL 証明書を生成します。HTTPS 経由で vCloud Usage Meter Web インターフェイスに初めてアクセスした場合は、自己署名証明書を手動で信頼するように求められます。

外部または内部の認証局 (CA) 署名付き証明書を使用して、vCloud Usage Meter の自己署名証明書を置き換えることで、vCloud Usage Meter への接続を保護できます。

すべての vCloud Usage Meter アプリケーションでは、同じキーストアと CA 証明書ストアを実行時に使用します。NGINX 証明書は、OS 起動時に更新されます。特に記載がない限り、vCloud Usage Meter コンソールでは usagemeter としてコマンドを実行できます。

vCloud Usage Meter コンソールとのリモート通信を許可するには、SSH を有効にするか、vSphere Web コンソールでコマンドを呼び出します。

vCloud Usage Meter アプライアンスは、Java キーストアの証明書を /opt/vmware/cloudusagemetering/platform/security/keystore に保存します。

CA 証明書キーストアは、/opt/vmware/cloudusagemetering/platform/security/cacerts にあります。

内部の認証局 (CA) 署名付き証明書のインポート

vCloud Usage Meter の証明書を認証局 (CA) の内部によって署名された証明書に置き換える場合は、まず vCloud Usage Meter アプライアンスに CA をインポートする必要があります。

前提条件

  • vCloud Usage Meter コンソールに usagemeter としてアクセスできることを確認します。
  • vCloud Usage Meter コンソールに root としてアクセスできることを確認します。

手順

  1. vCloud Usage Meter コンソールに usagemeter としてログインし、すべてのアプライアンス サービスを停止します。
    cd /opt/vmware/cloudusagemetering
    ./scripts/stop.sh All
  2. 環境変数をエクスポートします。
    export $(grep -v '^#' "/opt/vmware/cloudusagemetering/platform/conf/env.properties" | xargs)
  3. vCloud Usage Meter アプライアンスと内部の認証局によって署名された証明書との間の信頼を確立します。
    次のコマンドの [alias] プロパティの下にキーストア内の証明書を識別する名前を入力します。
    keytool -import -trustcacerts -file filepath-to-the-certificate -alias custom-internal-certificate-authority -keystore /opt/vmware/cloudusagemetering/platform/security/cacerts -storetype BCFKS -providerclass org.bouncycastle.jcajce.provider.BouncyCastleFipsProvider -providerpath /opt/vmware/cloudusagemetering/platform/lib/bc-fips-1.0.2.1.jar -storepass "${TRUST_STORE_PASSWORD}"
  4. root としてログインし、vCloud Usage Meter アプライアンスを再起動します。
    reboot

認証局 (CA) 署名付き証明書のインストール

vCloud Usage Meter Web インターフェイスとのセキュアなネットワーク接続を確立するために、vCloud Usage Meter アプライアンスに CA 署名付きの SSL 証明書をインストールできます。

CA 署名付き証明書とプライベート キーを取得するには、証明書署名リクエストを生成する必要があります。認証局は、リクエストを使用して公式の証明書を生成します。

前提条件

  • vCloud Usage Meter コンソールに usagemeter としてアクセスできることを確認します。
  • 認証局からプライベート キーと署名付き証明書の両方を取得します。いずれのファイルも PEM 形式にする必要があります。
  • 証明書が内部の認証局によって署名されている場合は、まず vCloud Usage Meter アプライアンスに認証局をインポートする必要があります。詳細については、『内部の認証局 (CA) 署名付き証明書のインポート』を参照してください。

手順

  1. vCloud Usage Meter コンソールに usagemeter としてログインし、すべてのアプライアンス サービスを停止します。
    cd /opt/vmware/cloudusagemetering
    ./scripts/stop.sh All
  2. 環境変数をエクスポートします。
    export $(grep -v '^#' "/opt/vmware/cloudusagemetering/platform/conf/env.properties" | xargs)
  3. 既存の vCloud Usage Meter アプライアンス証明書をバックアップします。
    1. 既存のキーストアをバックアップします。
      mv /opt/vmware/cloudusagemetering/platform/security/keystore /opt/vmware/cloudusagemetering/platform/security/keystore.backup
    2. 指定されたエイリアスから、既存のキーストア エントリを destalias パラメータの下にある新しいエイリアスに移動します。
      keytool -changealias -alias "usage-meter-platform" -destalias "usage-meter-platform-backup" -keystore /opt/vmware/cloudusagemetering/platform/security/cacerts -storetype BCFKS -providerclass org.bouncycastle.jcajce.provider.BouncyCastleFipsProvider -providerpath /opt/vmware/cloudusagemetering/platform/lib/bc-fips-1.0.2.1.jar -storepass "${TRUST_STORE_PASSWORD}"
  4. CA 署名付き証明書とプライベート キーを vCloud Usage Meter アプライアンスにインポートします。
    1. 一時ディレクトリを作成し、NGINX_FOLDER 環境変数にディレクトリ パスを 設定します。
      export NGINX_FOLDER=$(mktemp -d)
    2. 一時ディレクトリ内に一時サブディレクトリを 2 個作成します。
      mkdir ${NGINX_FOLDER}/private
      mkdir ${NGINX_FOLDER}/certs
    3. CA 署名付き証明書を ${NGINX_FOLDER}/certs/ フォルダにアップロードして、ファイル名を nginx-selfsigned.crt に変更します。
    4. CA 署名付きプライベート キーを ${NGINX_FOLDER}/private/ フォルダにアップロードして、ファイル名を nginx-selfsigned.key に変更します。
  5. CA 署名付き証明書の新しいキーストアを作成します。
    ./platform/bin/create-keystore.sh
  6. (オプション) すべての一時フォルダとバックアップ フォルダを削除して、古い vCloud Usage Meter の証明書を削除します。
    rm -rf $NGINX_FOLDER
    rm /opt/vmware/cloudusagemetering/platform/security/keystore.backup
    keytool -delete -alias "usage-meter-platform-backup" -keystore /opt/vmware/cloudusagemetering/platform/security/cacerts -storetype BCFKS -providerclass org.bouncycastle.jcajce.provider.BouncyCastleFipsProvider -providerpath /opt/vmware/cloudusagemetering/platform/lib/bc-fips-1.0.2.1.jar -storepass "${TRUST_STORE_PASSWORD}"
  7. キーストアの権限を構成します。
    chmod 0640 /opt/vmware/cloudusagemetering/platform/security/keystore
  8. vCloud Usage Meter アプライアンスを再起動します。
    CA 署名付きの SSL 証明書を vCloud Usage Meter アプライアンスに正常にインストールした場合は、 vCloud Usage Meter Web インターフェイスへの次回ログイン時にセキュリティに関する警告は表示されません。

デフォルトのアプライアンスの自己署名 SSL 証明書から新しい自己署名証明書への置き換え

新しい自己署名証明書を生成してインストールすると、デフォルトの vCloud Usage Meter アプライアンスの自己署名証明書を置き換えることができます。

前提条件

  • vCloud Usage Meter コンソールに usagemeter としてアクセスできることを確認します。
  • vCloud Usage Meter コンソールに root としてアクセスできることを確認します。

手順

  1. vCloud Usage Meter コンソールに usagemeter としてログインし、すべてのアプライアンス サービスを停止します。
    cd /opt/vmware/cloudusagemetering
    ./scripts/stop.sh All
  2. 環境変数をエクスポートします。
    export $(grep -v '^#' "/opt/vmware/cloudusagemetering/platform/conf/env.properties" | xargs)
  3. 既存の vCloud Usage Meter アプライアンス証明書をバックアップします。
    1. 既存のキーストアをバックアップします。
      mv /opt/vmware/cloudusagemetering/platform/security/keystore /opt/vmware/cloudusagemetering/platform/security/keystore.backup
    2. 指定されたエイリアスから、既存のキーストア エントリを destalias パラメータの下にある新しいエイリアスに移動します。
      keytool -changealias -alias "usage-meter-platform" -destalias "usage-meter-platform-backup" -keystore /opt/vmware/cloudusagemetering/platform/security/cacerts -storetype BCFKS -providerclass org.bouncycastle.jcajce.provider.BouncyCastleFipsProvider -providerpath /opt/vmware/cloudusagemetering/platform/lib/bc-fips-1.0.2.1.jar -storepass "${TRUST_STORE_PASSWORD}"
  4. 一時ディレクトリを作成し、NGINX_FOLDER 環境変数にディレクトリ パスを 設定します。
    export NGINX_FOLDER=$(mktemp -d)
  5. 新しい自己署名証明書を生成します。
    ./platform/bin/create-keystore.sh
  6. (オプション) すべての一時フォルダとバックアップ フォルダを削除して、古い vCloud Usage Meter の証明書を削除します。
    rm -rf $NGINX_FOLDER
    rm /opt/vmware/cloudusagemetering/platform/security/keystore.backup
    keytool -delete -alias "usage-meter-platform-backup" -keystore /opt/vmware/cloudusagemetering/platform/security/cacerts -storetype BCFKS -providerclass org.bouncycastle.jcajce.provider.BouncyCastleFipsProvider -providerpath /opt/vmware/cloudusagemetering/platform/lib/bc-fips-1.0.2.1.jar -storepass "${TRUST_STORE_PASSWORD}"
  7. キーストアの権限を構成します。
    chmod 0640 /opt/vmware/cloudusagemetering/platform/security/keystore
  8. root としてログインし、vCloud Usage Meter アプライアンスを再起動します。
    reboot

vCloud Usage Meter アプライアンス キーストアへの証明書のインポート

計測対象に追加するインスタンスが、ロード バランサ、プロキシ、ファイアウォールなどのネットワークおよびセキュリティ構成エンティティを使用している場合、または HTTPS 経由でプロキシを使用している場合は、証明書を vCloud Usage Meter アプライアンス キーストアにインポートする必要があります。

ネットワークおよびセキュリティ構成エンティティの証明書を vCloud Usage Meter アプライアンス キーストアにインポートするには、トラストストアのパスワードを取得する必要があります。パスワードは、/opt/vmware/cloudusagemetering/conf/local.conf に格納されています。

前提条件

  • vCloud Usage Meter アプライアンスに usagemeter としてアクセスできることを確認します。

  • vCloud Usage Meter アプライアンスに root としてアクセスできることを確認します。

手順

  1. vCloud Usage Meter アプライアンスに usagemeter としてログインします。
  2. 環境変数から trustore パスワードを抽出するには、次のコマンドを実行します。
    export TRUSTOREPASS=$(grep "trustStorePassword" /opt/vmware/cloudusagemetering/conf/local.conf | cut -d' ' -f2-)
    
  3. 証明書を vCloud Usage Meter アプライアンス キーストアにインポートするには、次のコマンドを実行します。
    keytool -import -trustcacerts -alias certificate-alias -file certificate-file -keystore 
    /opt/vmware/cloudusagemetering/resources/cacerts.bcfks -storetype bcfks -storepass "${TRUSTOREPASS}" -providername BCFIPS -providerclass 
    org.bouncycastle.jcajce.provider.BouncyCastleFipsProvider -providerpath /opt/vmware/cloudusagemetering/jars/bc-fips-*.jar
  4. root としてログインし、vCloud Usage Meter アプライアンスを再起動します。
    reboot