分散導入環境のセキュリティを確保するために、システム管理者は有効期限が切れた証明書または自己署名証明書を認証局から取得した証明書に置き換えることができます。

このタスクについて

SAN (Subject Alternative Name) 証明書は、複数のマシンで使用できます。IaaS コンポーネント(Website および Manager Service)用の証明書を発行するときは、SAN 値(対応するコンポーネントがインストールされるすべての Windows ホストの完全修飾ドメイン名)と、同じそのコンポーネントのロード バランサの完全修飾ドメイン名を指定する必要があります。

IaaS Manager Service と IaaS Web サービスは、1 つの証明書を共有します。

手順

  1. Web ブラウザを開き、vRealize Automation アプライアンス 管理インターフェイス URL にアクセスします。
  2. vRealize Automation アプライアンス をデプロイしているときに、指定したユーザー名 root とパスワードを使用してログインします。
  3. vRA 設定 > 証明書 を選択します。
  4. 証明書タイプ メニューの Manager Service をクリックします。
  5. 証明書のアクション メニューから証明書タイプを選択します。

    分散環境などにおいて PEM でエンコードされた証明書を使用している場合は、インポート を選択します。

    インポートする証明書は、信頼されており、SAN (Subject Alternative Name) 証明書を使用することによって vRealize Automation アプライアンス および任意のロード バランサのすべてのインスタンスに適用可能である必要があります。

    注:

    証明書チェーンを使用する場合は、次の順序で証明書を指定します。

    1. 中間 CA 証明書によって署名されたクライアント/サーバ証明書

    2. 1 つ以上の中間証明書

    3. ルート CA 証明書

    オプション

    説明

    既存を保持

    現在の SSL 構成のままにします。 このオプションを選択して変更をキャンセルします。

    証明書の生成

    1. 共通名 テキスト ボックスに表示される値は、ページ上部に表示されるホスト名です。vRealize Automation アプライアンスの追加インスタンスが利用可能な場合は、証明書の SAN 属性にそれらの FQDN が含められます。

    2. 会社名などの組織名を 組織 テキスト ボックスに入力します。

    3. 部署名や場所などの組織単位を 組織単位 テキスト ボックスに入力します。

    4. JP などの 2 文字の ISO 3166 国コードを テキスト ボックスに入力します。

    インポート

    1. ヘッダおよびフッタを含む証明書値を BEGIN PRIVATE KEY から END PRIVATE KEY にコピーし、それらを RSA プライベート キー テキスト ボックスに貼り付けます。

    2. ヘッダおよびフッタを含む証明書値を BEGIN CERTIFICATE から END CERTIFICATE にコピーし、それらを 証明書チェーン テキスト ボックスに貼り付けます。複数の証明書値の場合は、各証明書に BEGIN CERTIFICATE ヘッダと END CERTIFICATE フッタを含めます。

      注:

      チェーン証明書の場合は、追加の属性が使用可能になることがあります。

    3. (オプション)証明書でパス フレーズを使用して証明書キーを暗号化する場合は、そのパス フレーズをコピーし、パスフレーズ テキスト ボックスに貼り付けます。

    証明書サムプリントを付与

    このオプションは、IaaS サーバの証明書ストアにすでに展開されている証明書を使用するために、証明書サムプリントを提供する場合に使用します。このオプションを指定しても、証明書は仮想アプライアンスから IaaS サーバに転送されません。そのため、ユーザーは管理インターフェイスでアップロードしなくても既存の証明書を IaaS サーバに展開できます。

  6. 設定の保存 をクリックします。

    数分後に、証明書の詳細がページに表示されます。

  7. ネットワークまたはロード バランサで証明書を必要とする場合は、インポートした証明書または新しく作成した証明書をロード バランサにコピーします。
  8. DEM ワーカーまたはエージェントを実行中のサーバから、ブラウザを開いて https://managerServiceAdddress/vmpsProvision/ に移動します。

    ロード バランサを使用している場合、ホスト名はロード バランサの完全修飾ドメイン名である必要があります。

  9. プロンプトが表示されたら、証明書の警告を無視して続行します。
  10. 新しい証明書が提供され、信頼されていることを確認します。
  11. ロード バランサを使用している場合は、該当する健全性チェックを構成して有効にします。