VMware Cloud Foundation(VCF)5.2 で、SDDC Manager の認証局として登録した Active Directory 証明書サービス(ADCS)で、Aria Suite Lifecycle の証明書を入れ替えてみます。
今回の環境
SDDC Manager には、下記のように認証局として ADCS サーバーを登録してあります。
証明書の発行 → インストール
Aria Suite Lifecycle の証明書は、SDDC Manager と Aria Suite Lifecycle の2か所で管理されています。今回は、SDDC Manager から証明書を再発行してみます。
1. CSR(Certificate Signing Request)の生成
SDDC Manager で、ワークロード ドメイン(今回は Management Domain)の「証明書」タブを開き、「Suite Lifecycle」の先頭のチェック ボックスを ON にして、「CSR の生成」をクリックします。
CSR のパラメータを入力して、下にスクロールします。
- アルゴリズム: RSA
- キーのサイズ: 2048
CSR の、残りのパラメータを入力して「次へ」をクリックします。
- 組織単位: Home Lab
- 組織名: go-lab.jp
- 地域: Home
- 州/都道府県: Tokyo
- 国: JP - 日本
サブジェクト代替名は、証明書に登録する SAN が1件のみなので、空欄のまま「次へ」をクリックします。
入力した内容が表示されるので、「CSR の生成」をクリックします。
2. 証明書の生成(発行)
「証明書の運用ステータス」が「CSRの生成 - 成功」になったら、「Suite Lifecycle」の先頭のチェック ボックスを ON にして、「署名付き証明書の生成」をクリックします。
証明書を生成する認証局を選択して、「証明書の生成」をクリックします。
- 認証局の選択: Microsoft
3. 証明書のインストール
証明書をインストールする前に、入れ替え前の証明書を確認しておきます。
Aria Suite Lifecycle にログインして、「Locker」→「証明書」で確認すると、Aria Suite Lifecycle の証明書はフィンガープリントが「~51b」になっています。
この時点で Aria Suite Lifecycle にアクセスしている Web ブラウザのアドレス バーを確認すると、証明書エラーで「保護されていない通信」と表示されています。
Web ブラウザ(Google Chrome)のアドレス バーから証明書を確認すると、Aria Suite Lifecycle でフィンガープリントが「~51b」
SDDC Manager の、ワークロード ドメインの「証明書」タブに戻ります。
「証明書の 運用ステータス」が「証明書の生成 - 成功」になっていることを確認し、「Suite Lifecycle」のチェック ボックスを ON にして、「証明書のインストール」をクリックします。
Aria Suite Lifecycle 証明書インストールが完了すると、「発行者」が ADCS の CA の名前になり、「証明書の運用ステータス」は「証明書のインストール - 成功」になります。
Web ブラウザを起動しなおして、あらためて Aria Suite Lifecycle にアクセスすると、アドレス バーの証明書エラーは、表示されなくなります。このブラウザを開いているマシンの「信頼されたルート証明機関」フォルダには、(ドメイン参加により)ADCS の CA 証明書がインストールされています。そのため、ADCS の CA で発行された証明書ではエラーが発生しなくなります。
そして、ブラウザで Aria Suite Lifecycle の証明書を表示してみると、発行元の CA が ADCS になっており、フィンガープリントは「~081」に変更されています。SDDC Manager 側から証明書を発行すると、Aria Suite Lifecycle 側に登録された証明書は更新されず、実機とはずれるようです。
SDDC Manager で CSR を生成した際には SAN(サブジェクト代替名)を空欄にしましたが、発行された証明書には、ちゃんと DNS 名が登録されています。ちなみに、SANが指定されていることは、CSR のテキストファイルでもわかります。
以上、SDDC Manager から Aria Suite Lifecycle の証明書を入れ替えてみる話でした。