VMware Cloud Foundation(VCF)5.2 で、SDDC Manager で証明書を発行する認証局として Active Directory 証明書サービス(ADCS)サーバーを登録してみます。そして、vCenter Server の証明書を入れ替えてみます。
ドキュメントでは、下記のあたりが参考になります。
今回の内容です。
1. ADCS による CA の用意
今回は、下記のように CA(認証局 / 証明機関)を構築してあります。
2. SDDC Manager への認証局の追加
SDDC Manager で、「セキュリティ」→「認証局」を開いて、「編集」をクリックします。
認証局の情報をを入力して、「保存」をクリックします。
- 認証局のタイプ: Microsoft
- CA サーバの URL: https://vcf-ad-01.c.go-lab.jp/certsrv
- ユーザー名: Administrator@c.go-lab.jp ※ドメインの Admininstrator
- パスワード: Administrator@c.go-lab.jp のパスワード
- テンプレート名: VMware
この証明書テンプレートは、以前の投稿 で作成したものです。
CA の証明書の確認画面が表示されるので、「承諾」をクリックします。
これで、SDDC Manager に CA が登録できました。
3. SDDC Manager での証明書の更新(vCenter)
ためしに、vCenter Server の証明書を発行して、入れ替えてみます。
3-1. 証明書の更新前の状態
vCenter Server(vSphere Client)では、この時点では証明書エラーにより、Web ブラウザで「保護されていない」と表示されています。
この時点での、証明書のフィンガープリントも確認しておきます。
3-2. 証明書の発行 → 入れ替え
SDDC Manager で、ワークロード ドメイン(今回は Management Domain)の「証明書」タブを開きます。
「vCenter Server」の先頭のチェック ボックスを ON にして、「CSR の生成」をクリックします。
CSR(Certificate Signing Request)のパラメータを入力して、下にスクロールします。
- アルゴリズム: RSA
- キーのサイズ: 2048
CSR の、残りのパラメータを入力して「次へ」をクリックします。
- 組織単位: Home Lab
- 組織名: go-lab.jp
- 地域: Home
- 州/都道府県: Tokyo
- 国: JP - 日本
サブジェクト代替名を入力して、「次へ」をクリックします。
- SAN (オプション): vcf-m01-vc-01.c.go-lab.jp
今回の例では(vCenter)と同じ FQDN を入力していますが、実際のところこの画面は空欄でも、入力欄の上に表示されている FQDN は自動入力されます。
入力した内容が表示されるので、「CSR の生成」をクリックします。
「証明書の運用ステータス」が「CSRの生成 - 成功」になったら、「vCenter Server」の先頭のチェック ボックスを ON にして、「署名付き証明書の生成」をクリックします。
証明書を生成する認証局として「Microsoft」を選択して「証明書の生成」をクリックします。
「証明書の 運用ステータス」が、「証明書の生成 - 成功」になったら、vCenter Server のチェック ボックスを ON にして、「証明書のインストール」をクリックします。
vCenter Server の証明書インストールが完了すると、「発行者」が ADCS の CA の名前になり、「証明書の運用ステータス」は「証明書のインストール - 成功」になります。
展開すると、証明書の情報が確認できます。
vSphere Client 側では、Web ブラウザの更新が必要になります。
3-3. 証明書の更新後の状態
Web ブラウザを停止 → 起動すると、アドレスバーの証明書エラーは表示されなくなり、証明書の情報を確認すると、ADCA で発行された証明書がインストールされています。
※アクセス元の Windows マシンには、ドメイン参加によって自動的に CA 証明書がインストールされています。
証明書には、SAN(サブジェクト代替名)が設定されています。
NSX Manager で、「システム」タブ →「構成」→「コンピュート マネージャ」を開いて、登録されている vCenter Server の概要を展開して「編集」をクリックします。
NSX に登録してある vCenter Server の「SHA-256 サムプリント」も、新しく発行した証明書の値になっています。
Aria Suite Lifecycle の「Lifecycle Operations」→「データセンター」を開いて、vCenter の編集ボタンをクリックします。
「検証」ボタンをクリックすると、vCenter Server への接続が正常のままであることが確認できます。
以上、SDDC Manager に CA を追加してみる話でした。
つづく。