vm.gowatana.jp

NEOにほんごVMware(仮)

SDDC Manager の CA(ADCS)で Aria Suite Lifecycle の証明書を発行してみる。

VMware Cloud Foundation(VCF)5.2 で、SDDC Manager の認証局として登録した Active Directory 証明書サービス(ADCS)で、Aria Suite Lifecycle の証明書を入れ替えてみます。

 

今回の環境

SDDC Manager には、下記のように認証局として ADCS サーバーを登録してあります。

 

証明書の発行 → インストール

Aria Suite Lifecycle の証明書は、SDDC Manager と Aria Suite Lifecycle の2か所で管理されています。今回は、SDDC Manager から証明書を再発行してみます。

 

1. CSR(Certificate Signing Request)の生成

SDDC Manager で、ワークロード ドメイン(今回は Management Domain)の「証明書」タブを開き、「Suite Lifecycle」の先頭のチェック ボックスを ON にして、「CSR の生成」をクリックします。

 

CSR のパラメータを入力して、下にスクロールします。

  • アルゴリズム: RSA
  • キーのサイズ: 2048

 

CSR の、残りのパラメータを入力して「次へ」をクリックします。

  • 組織単位: Home Lab
  • 組織名: go-lab.jp
  • 地域: Home
  • 州/都道府県: Tokyo
  • 国: JP - 日本

 

サブジェクト代替名は、証明書に登録する SAN が1件のみなので、空欄のまま「次へ」をクリックします。

 

入力した内容が表示されるので、「CSR の生成」をクリックします。

 

2. 証明書の生成(発行)

「証明書の運用ステータス」が「CSRの生成 - 成功」になったら、「Suite Lifecycle」の先頭のチェック ボックスを ON にして、「署名付き証明書の生成」をクリックします。

 

証明書を生成する認証局を選択して、「証明書の生成」をクリックします。

  • 認証局の選択: Microsoft

 

3. 証明書のインストール

証明書をインストールする前に、入れ替え前の証明書を確認しておきます。

Aria Suite Lifecycle にログインして、「Locker」→「証明書」で確認すると、Aria Suite Lifecycle の証明書はフィンガープリントが「~51b」になっています。

 

この時点で Aria Suite Lifecycle にアクセスしている Web ブラウザのアドレス バーを確認すると、証明書エラーで「保護されていない通信」と表示されています。

Web ブラウザ(Google Chrome)のアドレス バーから証明書を確認すると、Aria Suite Lifecycle でフィンガープリントが「~51b」

 

SDDC Manager の、ワークロード ドメインの「証明書」タブに戻ります。

「証明書の 運用ステータス」が「証明書の生成 - 成功」になっていることを確認し、「Suite Lifecycle」のチェック ボックスを ON にして、「証明書のインストール」をクリックします。

 

Aria Suite Lifecycle 証明書インストールが完了すると、「発行者」が ADCS の CA の名前になり、「証明書の運用ステータス」は「証明書のインストール - 成功」になります。

 

Web ブラウザを起動しなおして、あらためて Aria Suite Lifecycle にアクセスすると、アドレス バーの証明書エラーは、表示されなくなります。このブラウザを開いているマシンの「信頼されたルート証明機関」フォルダには、(ドメイン参加により)ADCS の CA 証明書がインストールされています。そのため、ADCS の CA で発行された証明書ではエラーが発生しなくなります。

そして、ブラウザで Aria Suite Lifecycle の証明書を表示してみると、発行元の CA が ADCS になっており、フィンガープリントは「~081」に変更されています。SDDC Manager 側から証明書を発行すると、Aria Suite Lifecycle 側に登録された証明書は更新されず、実機とはずれるようです。

 

SDDC Manager で CSR を生成した際には SAN(サブジェクト代替名)を空欄にしましたが、発行された証明書には、ちゃんと DNS 名が登録されています。ちなみに、SANが指定されていることは、CSR のテキストファイルでもわかります。

 

以上、SDDC Manager から Aria Suite Lifecycle の証明書を入れ替えてみる話でした。