Search the VMware Knowledge Base (KB)
View by Article ID

使用する証明書を VMware SSL Certificate Automation Tool で生成する (2080418)

  • 1 Ratings

Symptoms

免責事項: これは英文の記事 「Generating certificates for use with the VMware SSL Certificate Automation Tool (2044696)」の日本語訳です。記事はベストエフォートで翻訳を進めているため、ローカライズ化コンテンツは最新情報ではない可能性があります。最新情報は英語版の記事で参照してください。

Purpose

この記事には、使用する認証局 (CA) 署名付き SSL 証明書を SSL Certificate Automation Tool で構成するときの情報が記載されています。このツールを使用すると、構成手順や詳細な構成など、証明書の作成で発生する問題の一般的な原因を取り除くことや、ツールでカスタム証明書を実装するときにエラーの原因になる一般的な構成の問題を避けることができます。

: SSL Certificate Automation Tool を使用する際、この記事は vSphere 5.1 と vSphere 5.5 を対象にしています。

vSphere 5.1 を使用している場合は、Deploying and using the SSL Certificate Automation Tool 5.1 (2041600) を参照してください。
vSphere 5.5 を使用している場合は、Deploying and using the SSL Certificate Automation Tool 5.5 (2057340) を参照してください。
証明書を手動で実装している場合は、Implementing CA signed SSL certificates with vSphere 5.x (2034833) を参照してください。

Resolution

vSphere 用の CA 署名付き証明書の作成は、複雑なタスクです。そのため、VMware はこのプロセスを自動化するツールを開発し、プロセスの単純化に取り組みました。ただし、ツールを実行するには、ツールを活用できるように証明書を正しく作成する必要があります。この記事には、適切な証明書の作成手順が記載されています。次の手順を示します。
vCenter Server 構成のそれぞれのコンポーネントにそれぞれ独自の証明書が必要であるという点に留意してください。これらの手順を試みる前に、次のことを確認します。
  • vSphere 5.1 または vSphere 5.5 環境であること。
  • 証明書をインストールするすべてのコンポーネントに、この環境があらかじめインストールされていること。

証明書要求の生成

vCenter Server 5.1 と 5.5 には、通信の暗号化に証明書を使用するコンポーネントが 7 個あります。コンポーネントが同一サーバ上にあっても、別々のサーバ上にあっても、それぞれのコンポーネントに別々の証明書がある場合は、この記事を使用できます。

SSL Certificate Automation Tool バージョン 1.0.1 以降では、多くの手動による手順を自動化するこのツールで証明書要求を直接作成できます。要求をツールで生成せずに手動で作成する場合は、この記事の「追加情報」のセクションを参照してください。

要求を作成するときに、SSL Certificate Automation Tool は、要求がデフォルトで適切な一意性を保持していることを確認します。証明書要求の要件は次のとおりです。
  • サブジェクトの別名フィールドが含まれている。
  • 証明書に一意のサブジェクト識別名 (DN) が含まれている。SSL Certificate Automation Tool では、コンポーネントに OrganizationalUnitNames を使用してこの一意性を実現します。
  • キー用途に digitalSignaturekeyEncipherment、および dataEncipherment のコンポーネントが含まれている
証明書要求を生成するには:
  1. SSL Certificate Automation Tool で オプション 2 を選択し、証明書要求を生成します。

    :証明書要求(およびそのプライベート キー)をシステムに生成することをお勧めします。これは、サービスで使用します。

  2. 証明書要求を生成するサービスのオプションを選択します。
  3. 証明書要求で要求する情報を入力します。デフォルトで、SSL Certificate Automation Tool は必要な情報の大部分を自動的に提示します。次に、必要な情報の説明を示します。
    1. DNS 名 - サーバの完全修飾ドメイン名。例: server.domain.com
    2. IP アドレス - サーバの IP アドレス。例: 10.0.0.10
    3. 省略名 - サーバのホストの省略名。例: server
    4. 国 - 2 桁の国コード。例: US
    5. 都道府県 - 証明書の発行都道府県。例: California
    6. 市町村 - 証明書の市町村。例: Palo Alto
    7. 組織 - 証明書の発行組織名。例: VMware
    8. 部署名 - 証明書の発行部署名。デフォルトでは、VMware は <service-servername> のデフォルト値を指定し、この値を使用して証明書の DN の一意性を確保します。別のフィールドで証明書の DN の一意性を確保できない場合は、この値を変更しないでください。

      :一意の DN は、vSphere 5.1 の ハードウェア要件です。vCenter Single Sign-On では証明書を使用して、通信細部の安全性を確保します。

    9. CSR を保存するディレクトリを入力します。デフォルトでは、CSR と KEY は SSL-TOOL-DIRECTORY\Requests ディレクトリに保存されます。

      重要: SSL Certificate Automation Tool を展開するディレクトリと、上記で指定した CSR ディレクトリの名前にスペースを含めると、CSR の生成に失敗します。

    10. 証明書を生成するサービスそれぞれに、手順 2 と 3 を繰り返します。
次に、vCenter Single Sign-On のサンプル構成を示します。



このセクションの手順を完了すると、各種サービスに指定されている各ディレクトリに rui.csr ファイルと rui.key ファイルが保存されます。
 
重要:証明書要求を生成すると、プライベート キー ( rui.key) も生成されます。プライベート キーは証明書の機密データです。そのため、VMware が推奨するようにそれぞれの証明書要求を生成すると、証明書を使用するシステムにプライベート キーが生成されます。
 
CSR が正しく作成されていることを検証するには、次のコマンドを実行します。

C:\OpenSSL-Win32\bin>openssl req -in <File path to created certificates>\rui.csr -noout -text

注: ここでは、OpenSSL ツールのデフォルトのパスを使用します。別のパスを使用した場合は、置き換えてください。

または、vCenter Server をインストールしている Windows Server で、コマンド プロンプトから次のコマンドを実行します。

C:\Program Files\VMware\Infrastructure\Inventory Service\bin\openssl.exe req -in rui.csr -noout -text

このコマンドを実行したら、ツールで入力したすべてのパラメータが適切に設定されていることを出力で確認します。
 
: SSL Certificate Automation Tool では CSR に RFC 標準形式を使用します。そのため、サブジェクトの別名に IP アドレスの IP: 構文を使用します。これにより、製品の操作時に証明書の検証で発生する問題を避けることができますが、vSphere Client と Internet Explorer ブラウザからサービスの IP アドレスにアクセスするときに証明書の警告を抑えることはできません。これは、証明書が Microsoft 証明書ストアで認識される方法に問題があるためです。エラーを無視するか、または完全修飾ドメイン名にアクセスしてエラーを回避します。

「証明書の取得」のセクションに進んで、証明書を取得します。

証明書の取得

証明書要求を作成したら認証局に提出し、実際の証明書の生成を依頼する必要があります。認証局は証明書とルート証明書のコピーを提示します。証明書チェーンの信頼性を確保するには、ルート証明書をサーバ上にインストールする必要があります。当該の証明書の認証局に適した下記のセクションの手順に従います。

商業認証局の場合は、次の手順で各証明書要求を作成します。
  1. 証明書要求(上記で生成された rui.csr)を当該認証局に送信します。
  2. 認証局は、生成した証明書を送り返します。
Microsoft CA の場合は、各証明書要求を次の手順で作成します。

:キーの要件に基づき、WebServer テンプレートがコピー済みで、ユーザー データの暗号化が可能であることを確認します。 通常、証明書マネージャ > 拡張機能 > キーの用途 > ユーザー データの暗号化を許可 で確認できます。

  1. Microsoft CA 認証局の Web インターフェイスにログインします。デフォルトは http://servername/CertSrv/ です。
  2. 証明書の要求 リンクをクリックします。
  3. 詳細な証明書要求 をクリックします。
  4. Base 64 エンコード CMC または PKCS #10 ファイルを使用して証明書要求を送信する、または Base 64 エンコード PKCS #7 ファイルを使用して更新要求を送信する リンクをクリックします。
  5. プレーン テキスト エディタで証明書要求を開いて、次に示す要求の最初から最後までのテキストを 保存された要求 ボックスに貼り付けます。

    -----BEGIN CERTIFICATE REQUEST----- から -----END CERTIFICATE REQUEST----- まで

    注: -----BEGIN CERTIFICATE REQUEST----------END CERTIFICATE REQUEST----- 自体はコピーしないでください。これらの行の間のテキストのみをコピーします。最初と最後の行に = (等号) が表示されることがあります(たとえば ==-----END)。この場合は、= (等号)もコピーする必要があります。

  6. 適切な Web Server テンプレートとして、証明書テンプレート を選択します。このテンプレートは通常、ユーザー データの暗号化を許可 を設定した Web Server テンプレートのコピーです。
  7. 送信 をクリックして要求を送信します。
  8. 証明書発行の画面で Base 64 エンコード をクリックします。
  9. 証明書のダウンロード リンクをクリックします。
  10. 適切な c:\certs\<service> フォルダに、rui.crt として証明書を保存します。
  11. その他の各サービスについても手順 2 ~ 10 を繰り返します。
  12. 証明書サーバのホーム ページに戻り、CA 証明書証明書チェーンまたは CRL のダウンロード をクリックします。
  13. Base 64 オプションをクリックします。
  14. CA 証明書チェーンのダウンロード リンクをクリックします。
  15. c:\certs フォルダに、cachain.p7b として証明書チェーンを保存します。
  16. cachain.p7b ファイルをダブルクリックし、C:\certs\cachain.p7b > 証明書 に移動します。
  17. 一覧表示された証明書を右クリックし、すべてのタスク > エクスポート をクリックします。
  18. 次へ をクリックします。
  19. Base-64 エンコード X.509 (.CER) を選択し、次へ をクリックします。
  20. エクスポートした証明書を C:\certs\Root64.cer に保存し、次へ をクリックします。

    :ここでは、証明書の認証局における中間証明書がないことを前提にしています。証明書を Base-64 エンコード X.509 (.CER) にエクスポートする際に、証明書の認証局に 2 つ以上の保証レベルがある場合や、.p7b ファイルに複数の証明書がある場合は、証明書を同時に Base64 にエクスポートすることはできません。同時ではなく、1 つずつエクスポートする必要があります。たとえば、C:\certs\Root64-1.cerC:\certs\Root64-2.cer などの名前を付けたファイルを作成します。

  21. 終了 をクリックします。
すべての設定が正しいことを確認するには、rui.crt ファイルをダブルクリックし、適切な別名とサブジェクトが各証明書に指定されていることを確認します。この手順を完了すると証明書が生成され、各サービスに rui.crt ファイルと Root64.cer ルート証明書が作成されています。

:中間証明書がある場合は、各中間証明書からルート証明書までを含む root64-#.cer ファイルが作成されます。
 
サービスをインストール済み、またはクライアントからサーバへの接続に使用する各 Windows システムの 信頼できるルート証明書の認証局 > ローカル コンピュータ の証明書ストアにルート証明書をインストールします。中間証明書を使用している場合は、この証明書を 中間証明書の認証局 > ローカル コンピュータ の証明書ストアにインストールします。
.crt ファイルまたは .cer ファイルの -----BEGIN CERTIFICATE----- の前、または -----END CERTIFICATE----- の後ろにはテキストがないようにする必要があります。

このセクションの手順を完了したら、「PEM ファイルの作成」のセクションに進みます。

PEM ファイルの作成

証明書とキーを作成したら、各証明書に PEM 証明書チェーンを作成する必要があります。チェーンには、ルート証明書の認証局にアクセスする順序ですべての証明書を含める必要があります。

:証明書の順序が適切でないと、証明書チェーンの検証に失敗します。

チェーンを作成するには:
  1. チェーンを作成するサービスのフォルダに、chain.pem というファイルを作成します。
  2. メモ帳で rui.crt ファイルを開き、ファイルの内容をそのサービスの chain.pem ファイルにコピーします。
  3. メモ帳で Root64.cer ファイルを開き、ファイルの内容を証明書セクションの直後の chain.pem ファイルに貼り付けます。これらの証明書のファイルに空白がないことを確認します。

    :各中間証明書の認証局でも同じようにこの操作を実行します。

  4. この手順を完了すると、ファイルが次の例のように表示されます。

    :この例に示されている証明書は、各証明書をファイルに貼り付ける順序を示すテキストを右側に書いて分かりやすくしてあるため、右側が省略されています。この例をコピーしたり、.pem ファイルにテキストを追加しないでください -----BEGIN CERTIFICATE----- 行の前と -----END CERTIFICATE----- 行の後ろにスペースがないことを確認します。

    -----BEGIN CERTIFICATE-----
    MIIFxTCCBK2gAwIBAgIKYaLJSgAAAAAAITANBgkqhkiG9w0BAQUFADBGMRMwEQYK
    CZImiZPyLGQBGRYDbmV0MRYwFAYKCZImiZPyLGQBGRYGbW5uZXh0MRcwFQYDVQQD
    Ew5tbm5leHQtQUQtMS1DQTAeFw0xMzAyMDExNjAxMDNaFw0xNTAyMDExNjExMDNa <-----Certificate
    SMhYhbv3wr7XraAnsIaBYCeg+J7fKTFgjA8bTwC+dVTaOSXQuhnZfrOVxlfJ/Ydm
    NS7WBBBFd9V4FPyRDPER/QMVl+xyoaMGw0QKnslmq/JvID4FPd0/QD62RAsTntXI
    ATa+CS6MjloKFgRaGnKAAFPsrEeGjb2JgMOpIfbdx4KT3WkspsK3KPwFPoYza4ih
    4eT2HwhcUs4wo7X/XQd+CZjttoLsSyCk5tCmOGU6xLaE1s08R6sz9mM=
    -----END CERTIFICATE-----
    -----BEGIN CERTIFICATE-----
    MIIDZzCCAk+gAwIBAgIQNO7aLfykR4pE94tcRe0vyDANBgkqhkiG9w0BAQUFADBG
    K73RIKZaDkBOuUlRSIfgfovUFJrdwGtMWo3m4dpN7csQAjK/uixfJDVRG0nXk9pq
    GXaS5/YCv5B4q4T+j5pa2f+a61ygjN1YQRoZf2CHLe7Zq89Xv90nhPM4foWdNNkr <-----Intermediate Certificate
    /Esf1E6fnrItsXpIchQOmvQViis12YyUvwko2aidjVm9sML0ANiLJZSoQ9Zs/WGC
    TLqwbQm6tNyFB8c=
    -----END CERTIFICATE-----
    -----BEGIN CERTIFICATE-----
    MIIDZzCCAk+gAwIBAgIQNO7aLfykR4pE94tcRe0vyDANBgkqhkiG9w0BAQUFADBG
    K73RIKZaDkBOuUlRSIfgfovUFJrdwGtMWo3m4dpN7csQAjK/uixfJDVRG0nXk9pq
    GXaS5/YCv5B4q4T+j5pa2f+a61ygjN1YQRoZf2CHLe7Zq89Xv90nhPM4foWdNNkr <-----Root Certificate
    /Esf1E6fnrItsXpIchQOmvQViis12YyUvwko2aidjVm9sML0ANiLJZSoQ9Zs/WGC
    TLqwbQm6tNyFB8c=
    -----END CERTIFICATE-----


  5. 保存してファイルを閉じます。
  6. 各サービスに対して、証明書を置換するこれらの手順を繰り返します。
この手順を完了すると、カスタム証明書を実装する各サービスに rui.key ファイルと chain.pem ファイルが作成されます。SSL Certificate Automation Tool で、使用する適切なサーバにこれらのファイルをコピーします。

Additional Information

バージョン 1.0.1 以降の SSL Certificate Automation Tool では、証明書要求をツールから直接生成できます。何らかの理由から、ツールで自動化プロセスを使用できない場合は、下記のように手動の手順を使用することもできます。

OpenSSL 構成ファイルの手動作成

vCenter Server 5.1 には、通信の暗号化に証明書を使用するコンポーネントが 7 個あります。コンポーネントが同一サーバ上にあっても、別々のサーバ上にあっても、それぞれのコンポーネントに別々の証明書がある場合は、この記事を使用できます。
証明書を手動で生成する場合は、最新バージョンの OpenSSL v0.9.8 を http://slproweb.com/products/Win32OpenSSL.html からダウンロードし、デフォルトの ディレクトリにインストールしている必要があります。この記事では、C:\OpenSSL-Win32 にインストールしているものと想定しています。別の場所にインストールしている場合は、適切な場所に置き換えます。

重要: OpenSSL バージョン 0.9.8 を使用する必要があります。

要求の生成時に、OpenSSL を次のように構成する必要があります。
  • サブジェクトの別名フィールドが含まれていること
  • コンポーネントに対して一意の OrganizationalUnitNames があること
  • キー用途に digitalSignaturekeyEncipherment、およびdataEncipherment コンポーネントが含まれていること
証明書を生成するシステム上で、各種コンポーネントの証明書を保存できるフォルダを作成します。ここでは、例として C:\certs フォルダを使用します。

C:\certs フォルダに 7 個のフォルダを作成して、各証明書を整理できるようにします。ここでは、次の 7 個のフォルダを使用します。
  • InventoryService
  • SSO
  • vCenter
  • WebClient
  • LogBrowser
  • UpdateManager
  • Orchestrator
この手順の実行後に、OpenSSL 構成ファイルを各サービスに作成します。以下に、完成した構成ファイルの例を示します。

:各 SSL 証明書には一意の識別名 (DN) が必要です。この記事の例では、OrganizationalUnitName (OU) フィールドを使用し、すべてのコンポーネントを同一のサーバにインストールする構成で、この一意性を実現します。サービスがすべて別々のサーバにインストールされている場合は、デフォルトで一意の DN が指定されています。
[ req ]
default_bits = 2048
default_keyfile = rui.key
distinguished_name = req_distinguished_name
encrypt_key = no
prompt = no
string_mask = nombstr
req_extensions = v3_req
[ v3_req ]
basicConstraints = CA:FALSE
keyUsage = digitalSignature, keyEncipherment, dataEncipherment
extendedKeyUsage = serverAuth, clientAuth
subjectAltName = DNS: vc51-1, IP: 10.0.0.10, DNS: vc51-1.vmware.com

[ req_distinguished_name ]
countryName = US
stateOrProvinceName = NY
localityName = New York
0.organizationName = VMWare
organizationalUnitName = vCenterInventoryService
commonName = vc51-1.vmware.com

:国名は、必ず 2 桁の国コードになります。
すべてのコンポーネントにカスタム証明書を実装する場合に、一意の各要求を作成する手順の詳細を下記に示します。手順では、必要な一意性を実現するために各証明書ファイルに加える必要がある詳細な変更を示します。

:少なくとも 1 つの subjectAltNamecommonName フィールドと一致する各サーバに指定されている必要があります。ポリシーで IP アドレスの使用が禁止されている場合は、subjectAltName として IP アドレスを使用する必要はありませんが、この構成を推奨します。

  1. Inventory Service の場合は、C:\certs\InventoryServiceinventoryservice.cfg というファイルを作成します。次のテキストをファイルに貼り付け、 赤色部分の項目を変更します。

    [ req ]
    default_bits = 2048
    default_keyfile = rui.key
    distinguished_name = req_distinguished_name
    encrypt_key = no
    prompt = no
    string_mask = nombstr
    req_extensions = v3_req

    [ v3_req ]
    basicConstraints = CA:FALSE
    keyUsage = digitalSignature, keyEncipherment, dataEncipherment
    extendedKeyUsage = serverAuth, clientAuth
    subjectAltName = DNS: ServerShortName, IP: ServerIPAddress, DNS: server.domain.com

    [ req_distinguished_name ]
    countryName = Country
    stateOrProvinceName = State
    localityName = City
    0.organizationName = Company Name
    organizationalUnitName = vCenterInventoryService
    commonName = server.domain.com


  2. vCenter Single Sign-On (SSO) の場合は、C:\certs\SSOsso.cfg というファイルを作成します。次のテキストをファイルに貼り付け、 赤色部分の項目を変更します。

    [ req ]
    default_bits = 2048
    default_keyfile = rui.key
    distinguished_name = req_distinguished_name
    encrypt_key = no
    prompt = no
    string_mask = nombstr
    req_extensions = v3_req

    [ v3_req ]
    basicConstraints = CA:FALSE
    keyUsage = digitalSignature, keyEncipherment, dataEncipherment
    extendedKeyUsage = serverAuth, clientAuth
    subjectAltName = DNS: ServerShortName, IP: ServerIPAddress, DNS: server.domain.com

    [ req_distinguished_name ]
    countryName = Country
    stateOrProvinceName = State
    localityName = City
    0.organizationName = Company Name
    organizationalUnitName = vCenterSSO
    commonName = server.domain.com


  3. VirtualCenter Server サービスの場合は、C:\certs\vCentervcenter.cfg というファイルを作成します。次のテキストをファイルに貼り付け、 赤色部分の項目を変更します。

    [ req ]
    default_bits = 2048
    default_keyfile = rui.key
    distinguished_name = req_distinguished_name
    encrypt_key = no
    prompt = no
    string_mask = nombstr
    req_extensions = v3_req

    [ v3_req ]
    basicConstraints = CA:FALSE
    keyUsage = digitalSignature, keyEncipherment, dataEncipherment
    extendedKeyUsage = serverAuth, clientAuth
    subjectAltName = DNS: ServerShortName, IP: ServerIPAddress, DNS: server.domain.com

    [ req_distinguished_name ]
    countryName = Country
    stateOrProvinceName = State
    localityName = City
    0.organizationName = Company Name
    organizationalUnitName = vCenterServer
    commonName = server.domain.com


  4. vSphere Web Client の場合は、C:\certs\WebClientwebclient.cfg というファイルを作成します。次のテキストをファイルに貼り付け、 赤色部分の項目を変更します。

    [ req ]
    default_bits = 2048
    default_keyfile = rui.key
    distinguished_name = req_distinguished_name
    encrypt_key = no
    prompt = no
    string_mask = nombstr
    req_extensions = v3_req

    [ v3_req ]
    basicConstraints = CA:FALSE
    keyUsage = digitalSignature, keyEncipherment, dataEncipherment
    extendedKeyUsage = serverAuth, clientAuth
    subjectAltName = DNS: ServerShortName, IP: ServerIPAddress, DNS: server.domain.com

    [ req_distinguished_name ]
    countryName = Country
    stateOrProvinceName = State
    localityName = City
    0.organizationName = Company Name
    organizationalUnitName = vCenterWebClient
    commonName = server.domain.com


  5. VMware Log Browser の場合は、C:\certs\LogBrowserLogBrowser.cfg というファイルを作成します。次のテキストをファイルに貼り付け、 赤色部分の項目を変更します。

    [ req ]
    default_bits = 2048
    default_keyfile = rui.key
    distinguished_name = req_distinguished_name
    encrypt_key = no
    prompt = no
    string_mask = nombstr
    req_extensions = v3_req

    [ v3_req ]
    basicConstraints = CA:FALSE
    keyUsage = digitalSignature, keyEncipherment, dataEncipherment
    extendedKeyUsage = serverAuth, clientAuth
    subjectAltName = DNS: ServerShortName, IP: ServerIPAddress, DNS: server.domain.com

    [ req_distinguished_name ]
    countryName = Country
    stateOrProvinceName = State
    localityName = City
    0.organizationName = Company Name
    organizationalUnitName = vCenterLogBrowser
    commonName = server.domain.com


  6. vSphere Update Manager の場合は、C:\certs\UpdateManagerUpdateManager.cfg というファイルを作成します。次のテキストをファイルに貼り付け、 赤色部分の項目を変更します。

    [ req ]
    default_bits = 2048
    default_keyfile = rui.key
    distinguished_name = req_distinguished_name
    encrypt_key = no
    prompt = no
    string_mask = nombstr
    req_extensions = v3_req

    [ v3_req ]
    basicConstraints = CA:FALSE
    keyUsage = digitalSignature, keyEncipherment, dataEncipherment
    extendedKeyUsage = serverAuth, clientAuth
    subjectAltName = DNS: ServerShortName, IP: ServerIPAddress, DNS: server.domain.com

    [ req_distinguished_name ]
    countryName = Country
    stateOrProvinceName = State
    localityName = City
    0.organizationName = Company Name
    organizationalUnitName = VMwareUpdateManager
    commonName = server.domain.com


  7. vRealize Orchestrator の場合は、C:\certs\OrchestratorOrchestrator.cfg というファイルを作成します。次のテキストをファイルに貼り付け、 赤色部分の項目を変更します。

    [ req ]
    default_bits = 2048
    default_keyfile = rui.key
    distinguished_name = req_distinguished_name
    encrypt_key = no
    prompt = no
    string_mask = nombstr
    req_extensions = v3_req

    [ v3_req ]
    basicConstraints = CA:FALSE
    keyUsage = digitalSignature, keyEncipherment, dataEncipherment
    extendedKeyUsage = serverAuth, clientAuth
    subjectAltName = DNS: ServerShortName, IP: ServerIPAddress, DNS: server.domain.com

    [ req_distinguished_name ]
    countryName = Country
    stateOrProvinceName = State
    localityName = City
    0.organizationName = Company Name
    organizationalUnitName = VMwareOrchestrator
    commonName = server.domain.com
このセクションの手順を完了すると、OpenSSL 構成ファイルが構成されます。この記事の「証明書要求の生成」セクションに進みます。

証明書要求の手動生成

Once OpenSSL を構成したら、各コンポーネントの証明書要求を生成する必要があります。

証明書要求を生成するには:
  1. コマンド プロンプトを起動し、OpenSSL ディレクトリに移動します。デフォルトでは、C:\OpenSSL-Win32\bin です。
  2. 次のコマンドを実行し、Inventory Service の証明書要求を作成してプライベート キーをエクスポートします。

    openssl req -new -nodes -out c:\certs\InventoryService\rui.csr -keyout c:\certs\InventoryService\rui-orig.key -config c:\certs\InventoryService\inventoryservice.cfg

  3. Inventory Service で使用するために、適切な RSA 形式にキーを変換します。

    openssl rsa -in c:\certs\InventoryService\rui-orig.key -out c:\certs\InventoryService\rui.key

  4. 次のコマンドを実行し、vCenter SSO の証明書要求を作成してプライベート キーをエクスポートします。

    openssl req -new -nodes -out c:\certs\sso\rui.csr -keyout c:\certs\sso\rui-orig.key -config c:\certs\sso\sso.cfg

  5. vCenter Server SSO で使用するために、適切な RSA 形式にキーを変換します。

    openssl rsa -in c:\certs\sso\rui-orig.key -out c:\certs\sso\rui.key

  6. 次のコマンドを実行し、vCenter Server Service の証明書要求を作成してプライベート キーをエクスポートします。

    openssl req -new -nodes -out c:\certs\vCenter\rui.csr -keyout c:\certs\vCenter\rui-orig.key -config c:\certs\vCenter\vcenter.cfg

  7. vCenter Server で使用するために、適切な RSA 形式にキーを変換します。

    openssl rsa -in c:\certs\vCenter\rui-orig.key -out c:\certs\vCenter\rui.key

  8. 次のコマンドを実行し、vSphereWeb Client の証明書要求を作成してプライベート キーをエクスポートします。

    openssl req -new -nodes -out c:\certs\WebClient\rui.csr -keyout c:\certs\WebClient\rui-orig.key -config c:\certs\WebClient\webclient.cfg

  9. vSphere Web Client で使用するために、適切な RSA 形式にキーを変換します。

    openssl rsa -in c:\certs\WebClient\rui-orig.key -out c:\certs\WebClient\rui.key

  10. 次のコマンドを実行し、vSphere Log Browser の証明書要求を作成してプライベート キーをエクスポートします。

    openssl req -new -nodes -out c:\certs\LogBrowser\rui.csr -keyout c:\certs\LogBrowser\rui-orig.key -config c:\certs\LogBrowser\logbrowser.cfg

  11. Log Browser で使用するために、適切な RSA 形式にキーを変換します。

    openssl rsa -in c:\certs\LogBrowser\rui-orig.key -out c:\certs\LogBrowser\rui.key

  12. 次のコマンドを実行し、vSphere Update Manager の証明書要求を作成してプライベート キーをエクスポートします。

    openssl req -new -nodes -out c:\certs\UpdateManager\rui.csr -keyout c:\certs\UpdateManager\rui-orig.key -config c:\certs\UpdateManager\updatemanager.cfg

  13. vSphere Update Manager で使用するために、適切な RSA 形式にキーを変換します。

    openssl rsa -in c:\certs\UpdateManager\rui-orig.key -out c:\certs\UpdateManager\rui.key

  14. 次のコマンドを実行し、vRealize Orchestrator の証明書要求を作成してプライベート キーをエクスポートします。

    openssl req -new -nodes -out c:\certs\Orchestrator\rui.csr -keyout c:\certs\Orchestrator\rui-orig.key -config c:\certs\Orchestrator\Orchestrator.cfg

  15. vRealize Orchestrator で使用するために、適切な RSA 形式にキーを変換します。

    openssl rsa -in c:\certs\Orchestrator\rui-orig.key -out c:\certs\Orchestrator\rui.key
このセクションの手順を完了すると、rui.csr ファイルおよび rui.key ファイルが各種サービスのそれぞれのディレクトリに保存されます。CSR が適切に作成されていることを確認するには、次のコマンドを実行します。

openssl req -in rui.csr -noout -text

このコマンドを実行したら、.cfg ファイルに入力されたすべてのパラメータが適切に設定されていることを出力で確認します。

この記事の「解決方法」にある「証明書の取得」のセクションに進みます。

Tags

日本語 Japanese

See Also

Request a Product Feature

To request a new product feature or to provide feedback on a VMware product, please visit the Request a Product Feature page.

Feedback

  • 1 Ratings

Did this article help you?
This article resolved my issue.
This article did not resolve my issue.
This article helped but additional information was required to resolve my issue.

What can we do to improve this information? (4000 or fewer characters)




Please enter the Captcha code before clicking Submit.
  • 1 Ratings
Actions
KB: