vm.gowatana.jp

NEOにほんごVMware(仮)

SDDC Manager の認証局として ADCS サーバーを追加してみる。

VMware Cloud Foundation(VCF)5.2 で、SDDC Manager で証明書を発行する認証局として Active Directory 証明書サービス(ADCS)サーバーを登録してみます。そして、vCenter Server の証明書を入れ替えてみます。

 

ドキュメントでは、下記のあたりが参考になります。

 

今回の内容です。

 

1. ADCS による CA の用意

今回は、下記のように CA(認証局 / 証明機関)を構築してあります。

 

2. SDDC Manager への認証局の追加

SDDC Manager で、「セキュリティ」→「認証局」を開いて、「編集」をクリックします。

 

認証局の情報をを入力して、「保存」をクリックします。

  • 認証局のタイプ: Microsoft
  • CA サーバの URL: https://vcf-ad-01.c.go-lab.jp/certsrv
  • ユーザー名: Administrator@c.go-lab.jp ※ドメインの Admininstrator
  • パスワード:  Administrator@c.go-lab.jp のパスワード
  • テンプレート名: VMware
    この証明書テンプレートは、以前の投稿 で作成したものです。

 

CA の証明書の確認画面が表示されるので、「承諾」をクリックします。

 

これで、SDDC Manager に CA が登録できました。

 

3. SDDC Manager での証明書の更新(vCenter)

ためしに、vCenter Server の証明書を発行して、入れ替えてみます。

 

3-1. 証明書の更新前の状態

vCenter Server(vSphere Client)では、この時点では証明書エラーにより、Web ブラウザで「保護されていない」と表示されています。

この時点での、証明書のフィンガープリントも確認しておきます。

 

3-2. 証明書の発行 → 入れ替え

SDDC Manager で、ワークロード ドメイン(今回は Management Domain)の「証明書」タブを開きます。

「vCenter Server」の先頭のチェック ボックスを ON にして、「CSR の生成」をクリックします。

 

CSR(Certificate Signing Request)のパラメータを入力して、下にスクロールします。

  • アルゴリズム: RSA
  • キーのサイズ: 2048

 

CSR の、残りのパラメータを入力して「次へ」をクリックします。

  • 組織単位: Home Lab
  • 組織名: go-lab.jp
  • 地域: Home
  • 州/都道府県: Tokyo
  • 国: JP - 日本

 

サブジェクト代替名を入力して、「次へ」をクリックします。

  • SAN (オプション): vcf-m01-vc-01.c.go-lab.jp

今回の例では(vCenter)と同じ FQDN を入力していますが、実際のところこの画面は空欄でも、入力欄の上に表示されている FQDN は自動入力されます。

 

入力した内容が表示されるので、「CSR の生成」をクリックします。

 

「証明書の運用ステータス」が「CSRの生成 - 成功」になったら、「vCenter Server」の先頭のチェック ボックスを ON にして、「署名付き証明書の生成」をクリックします。

 

証明書を生成する認証局として「Microsoft」を選択して「証明書の生成」をクリックします。

 

「証明書の 運用ステータス」が、「証明書の生成 - 成功」になったら、vCenter Server のチェック ボックスを ON にして、「証明書のインストール」をクリックします。

 

vCenter Server の証明書インストールが完了すると、「発行者」が ADCS の CA の名前になり、「証明書の運用ステータス」は「証明書のインストール - 成功」になります。

 

展開すると、証明書の情報が確認できます。

 

vSphere Client 側では、Web ブラウザの更新が必要になります。

 

3-3. 証明書の更新後の状態

Web ブラウザを停止 → 起動すると、アドレスバーの証明書エラーは表示されなくなり、証明書の情報を確認すると、ADCA で発行された証明書がインストールされています。

※アクセス元の Windows マシンには、ドメイン参加によって自動的に CA 証明書がインストールされています。

 

証明書には、SAN(サブジェクト代替名)が設定されています。

 

NSX Manager で、「システム」タブ →「構成」→「コンピュート マネージャ」を開いて、登録されている vCenter Server の概要を展開して「編集」をクリックします。

 

NSX に登録してある vCenter Server の「SHA-256 サムプリント」も、新しく発行した証明書の値になっています。

 

Aria Suite Lifecycle の「Lifecycle Operations」→「データセンター」を開いて、vCenter の編集ボタンをクリックします。

 

「検証」ボタンをクリックすると、vCenter Server への接続が正常のままであることが確認できます。

 

以上、SDDC Manager に CA を追加してみる話でした。

つづく。