VMware Cloud Foundation（VCF）5.2 で、SDDC Manager で証明書を発行する認証局として Active Directory 証明書サービス（ADCS）サーバーを登録してみます。そして、vCenter Server の証明書を入れ替えてみます。

 

ドキュメントでは、下記のあたりが参考になります。

• Microsoft CA 署名付き証明書を使用するための VMware Cloud Foundation の構成

 

今回の内容です。

• 1. ADCS による CA の用意
• 2. SDDC Manager への認証局の追加
• 3. SDDC Manager での証明書の更新（vCenter）
  • 3-1. 証明書の更新前の状態
  • 3-2. 証明書の発行 → 入れ替え
  • 3-3. 証明書の更新後の状態

 

1. ADCS による CA の用意

今回は、下記のように CA（認証局 / 証明機関）を構築してあります。

• SDDC Manager の ID プロバイダとして AD を追加してみる。前編: AD/ADCS（LDAPS）構築

 

2. SDDC Manager への認証局の追加

SDDC Manager で、「セキュリティ」→「認証局」を開いて、「編集」をクリックします。

 

認証局の情報をを入力して、「保存」をクリックします。

• 認証局のタイプ： Microsoft
• CA サーバの URL： https://vcf-ad-01.c.go-lab.jp/certsrv
• ユーザー名： Administrator@c.go-lab.jp ※ドメインの Admininstrator
• パスワード：  Administrator@c.go-lab.jp のパスワード
• テンプレート名： VMware
  この証明書テンプレートは、以前の投稿 で作成したものです。

 

CA の証明書の確認画面が表示されるので、「承諾」をクリックします。

 

これで、SDDC Manager に CA が登録できました。

 

3. SDDC Manager での証明書の更新（vCenter）

ためしに、vCenter Server の証明書を発行して、入れ替えてみます。

 

3-1. 証明書の更新前の状態

vCenter Server（vSphere Client）では、この時点では証明書エラーにより、Web ブラウザで「保護されていない」と表示されています。

この時点での、証明書のフィンガープリントも確認しておきます。

 

3-2. 証明書の発行 → 入れ替え

SDDC Manager で、ワークロード ドメイン（今回は Management Domain）の「証明書」タブを開きます。

「vCenter Server」の先頭のチェック ボックスを ON にして、「CSR の生成」をクリックします。

 

CSR（Certificate Signing Request）のパラメータを入力して、下にスクロールします。

• アルゴリズム： RSA
• キーのサイズ： 2048

 

CSR の、残りのパラメータを入力して「次へ」をクリックします。

• 組織単位： Home Lab
• 組織名： go-lab.jp
• 地域： Home
• 州/都道府県： Tokyo
• 国： JP - 日本

 

サブジェクト代替名を入力して、「次へ」をクリックします。

• SAN (オプション)： vcf-m01-vc-01.c.go-lab.jp

今回の例では（vCenter）と同じ FQDN を入力していますが、実際のところこの画面は空欄でも、入力欄の上に表示されている FQDN は自動入力されます。

 

入力した内容が表示されるので、「CSR の生成」をクリックします。

 

「証明書の運用ステータス」が「CSRの生成 - 成功」になったら、「vCenter Server」の先頭のチェック ボックスを ON にして、「署名付き証明書の生成」をクリックします。

 

証明書を生成する認証局として「Microsoft」を選択して「証明書の生成」をクリックします。

 

「証明書の 運用ステータス」が、「証明書の生成 - 成功」になったら、vCenter Server のチェック ボックスを ON にして、「証明書のインストール」をクリックします。

 

vCenter Server の証明書インストールが完了すると、「発行者」が ADCS の CA の名前になり、「証明書の運用ステータス」は「証明書のインストール - 成功」になります。

 

展開すると、証明書の情報が確認できます。

 

vSphere Client 側では、Web ブラウザの更新が必要になります。

 

3-3. 証明書の更新後の状態

Web ブラウザを停止 → 起動すると、アドレスバーの証明書エラーは表示されなくなり、証明書の情報を確認すると、ADCA で発行された証明書がインストールされています。

※アクセス元の Windows マシンには、ドメイン参加によって自動的に CA 証明書がインストールされています。

 

証明書には、SAN（サブジェクト代替名）が設定されています。

 

NSX Manager で、「システム」タブ →「構成」→「コンピュート マネージャ」を開いて、登録されている vCenter Server の概要を展開して「編集」をクリックします。

 

NSX に登録してある vCenter Server の「SHA-256 サムプリント」も、新しく発行した証明書の値になっています。

 

Aria Suite Lifecycle の「Lifecycle Operations」→「データセンター」を開いて、vCenter の編集ボタンをクリックします。

 

「検証」ボタンをクリックすると、vCenter Server への接続が正常のままであることが確認できます。

 

以上、SDDC Manager に CA を追加してみる話でした。

つづく。

• SDDC Manager の CA（ADCS）で Aria Suite Lifecycle の証明書を発行してみる。