VMware Cloud Foundation(VCF)5.2.1 の SDDC Manager から、Avi Load Balancer コントローラーに設定する証明書を再発行してみます。
ドキュメントでは、下記のあたりでさりげなく紹介されています。
As of VCF version 5.2, this functionality has been natively implemented as part of the SDDC Manager workflows.
今回の内容です。
今回の環境
Avi Load Balancer は、下記のように展開してあります。ただし今回のバージョンは、VCF 5.2.1 / Avi 22.1.7 です。
SDDC Manager には、下記のように ADCS の認証局を登録してあります。デフォルトのままの場合は、ADCS ではなく SDDC Manager 内蔵の認証局(OpenSSL)が利用できるはずです。
Web ブラウザから確認すると、Avi Controller ではデフォルトの(SDDC Manager 発行ではない)証明書が設定されています。
Avi の Web UI で確認すると、「管理」→「システム設定」→「アクセス」にある「SSL/TLS 証明書」が、「System-Default-Portal-Cert」になっています。
1. SDDC Manager での証明書の信頼
展開直後の Avi Controller は、SDDC Manager で証明書が信頼できていないようです。そこで、証明書を信頼しておきます。
SDDC Manager の Management Workload Domain(ここでは vcf-m01)の「証明書」タブを開き、Avi Controller(旧称の NSX ALB)の「確認」リンクをクリックします。
「証明書の信頼性」をクリックします。
これで、ステータスが「アクティブ」になりました。
2. Avi Controller 証明書の入れ替え
SDDC Manager の Management Workload Domain にある「証明書」タブを開き、「NSX ALB」の先頭のチェック ボックスを ON にして、「CSR の生成」をクリックします。
証明書に設定するパラメータを入力して、「次へ」をクリックします。
- アルゴリズム: RSA ※デフォルト
- キーのサイズ: 2048 ※デフォルト
- E メール:空欄のまま
- 組織単位: Home Lab
- 組織名: go-lab.jp
- 地域: Home
- 州/都道府県: Tokyo
- 国: JP - 日本
サブジェクト代替名(SAN)には、Avi Controller 仮想マシン3台の FQDN を「,」区切り入力して「次へ」をクリックします。
入力した内容が表示されるので、「CSR の生成」をクリックします。
「証明書の運用ステータス」が「CSRの生成 - 成功」になったら、「NSX ALB」の先頭のチェック ボックスを ON にして、「署名付き証明書の生成」をクリックします。
証明書を生成する認証局として「Microsoft」を選択して「証明書の生成」をクリックします。
「証明書の 運用ステータス」が、「証明書の生成 - 成功」になったら、NSX ALB のチェック ボックスを ON にして、「証明書のインストール」をクリックします。
※チェックボックスを ON にすると、「証明書のインストール」ボタンがアクティブになります。
証明書インストールが完了すると、「発行者」が ADCS の CA の名前になり、「証明書の運用ステータス」は「証明書のインストール - 成功」になります。
3. 入れ替えた証明書の確認
Web ブラウザを開きなおし、Avi Controller の証明書を確認すると、SDDC Manager で発行した証明書に置き換えられています。
証明書には、SAN も設定されています。
Avi の Web UI で確認すると、「管理」→「システム設定」→「アクセス」にある「SSL/TLS 証明書」が、「System-Portal-Cert-~」になっています。
「System-Portal-Cert-~」という名前の証明書の内容は、「テンプレート」タブ →「セキュリティ」→「SSL/TLS 証明書」を開くと、確認できます。末尾の編集ボタンをクリックしてみます。
証明書の設定内容が確認でき、「サブジェクトの別名(SAN)」に 4件(Avi Controller クラスタの FQDN と仮想マシン 3台)が登録されています。
以上、SDDC Manager で Avi Controller の証明書を入れ替えてみる話でした。