vRealize Operations Manager で使用する証明書の構成 (2151907)

search cancel

vRealize Operations Manager で使用する証明書の構成 (2151907)

book

Article ID: 327943

calendar_today

Updated On:

Products

VMware

Issue/Introduction

この記事では、OpenSSL を使用して vRealize Operations Manager（旧称 vCenter Operations Manager）で使用する認証証明書を構成する方法について説明します。

Symptoms:
免責事項：これは英文の記事「Configure a certificate for use with vRealize Operations Manager (2046591)」の日本語訳です。記事はベストエフォートで翻訳を進めているため、ローカライズ化コンテンツは最新情報ではない可能性があります。最新情報は英語版の記事で参照してください。

Resolution

注：vRealize Operations Manager 管理ユーザーインターフェイスを介して適用される証明書は、（外部の）クライアントに安全に接続するためのユーザーインターフェイスを提供する目的でのみ使用されます。

vCenter Operations Manager 5.x

vCenter Operations Manager (vApp) 5.x で使用する証明書を構成します。

OpenSSL がインストールされているサーバにログインし、次のコマンドを実行します。

openssl req -nodes -newkey rsa:2048 -keyout myserver.key -out server.csr

注：myserver.key と server.csr のファイル名は、より適切なファイル名に変更することができます。
vRealize Operations Manager UI 仮想マシンに基づいて、プロンプトに適切に応答します。
証明書を生成する CA に server.csr ファイルを送信します。
CA から証明書を受け取ったら、前の openssl コマンドが実行されたシステムと同じシステムで次のコマンドを実行します。

openssl pkcs12 -export -in server.crt -inkey myserver.key -out myserver.p12 openssl pkcs12 -in myserver.p12 -nodes -out myserver.pem

注：
- server.crt を CA から提供される証明書ファイルの名前に置き換えます。
- myserver.p12 と myserver.pem のファイル名は、より適切なファイル名に変更することができます。
- パスワードの入力を要求されても、入力しないでください。
vRealize Operations Manager 管理ユーザーインターフェイスの SSL ページの myserver.pem ファイルを使用します。
証明書がロードされたら、管理ユーザーインターフェイスを新しいブラウザで開き、CA 証明書が使用されていることを確認します。

vRealize Operations Manager 6.x

vRealize Operations Manager 6.x で使用する証明書を構成します。

Web ブラウザで、vRealize Operations Manager 管理インターフェイスに移動します。

https://vrops-node-FQDN-or-ip-address/admin
管理ユーザー名とパスワードを使用してログインします。
右上の黄色い [SSL 証明書] アイコンをクリックします。
[SSL 証明書] ウィンドウで、[新規証明書のインストール] をクリックします。
[証明書の参照] をクリックします。
証明書 .pem ファイルを指定し、[開く] をクリックすると [証明書情報] テキストボックスにファイルが読み込まれます。

証明書ファイルには、有効なプライベートキーと有効な証明書チェーンが含まれている必要があります。
[インストール] をクリックします。

vRealize Operations Manager 6.x で使用する証明書 PEM ファイルの生成

この例では Linux マシンを使用していますが、OpenSSL がインストールされている Windows または Mac マシンでも手順は同様です。

次のコマンドを実行してキーペアを生成します。

openssl genrsa -out key_filename.key 2048
次のコマンドを実行し、キーを使用して証明書署名リクエストを生成します。

openssl req -new -key key_filename.key -out certificate_request.csr
CSR ファイルを認証局 (CA) に送信し、署名付き証明書を取得します。
認証局から、証明書と完全な発行元チェーン（1 つ以上の証明書）をダウンロードします。Base64 形式でダウンロードします。
コマンドを入力し、すべての証明書とプライベートキーを含む単一の PEM ファイルを作成します。この手順では、証明書の例が server_cert.cer で、発行元チェーンが cacerts.cer です。

注：.PEM ファイル内の CA の証明書の順序：証明書のプライベートキー、中間証明書、ルート証明書。

cat server_cert.cer key_filename.key cacerts.cer > multi_part.pem

注：Windows で、cat を type に置換します。

完成した PEM ファイルは次の例のようになります。ここで CERTIFICATE セクションの数は、発行元チェーンの長さに依存します。

注：または、完成したファイルは次の例のようになります。Microsoft のツールは Bag Attributes セクションを追加しますが、これによって管理インターフェイスで証明書を構成するときにエラーが発生する可能性があります。

Unable to find any certificates in the uploaded certificate file. Verify that the certificate is valid and try again.

エラーを修正するには、テキストエディタを使用して PEM ファイルを開き、Bag Attributes のすべてのコンテンツを削除します。
すべての -END- から -BEGIN- マーカーまで（マーカー自体を含む）のコンテンツのみを保存します。

   Bag Attributes
Microsoft Local Key set: <No Values>
localKeyID: 01 00 00 00
Microsoft CSP Name: Microsoft RSA SChannel Cryptographic Provider
friendlyName: le-WebServer-8dea65d4-c331-40f4-aa0b-205c3c323f62
Key Attributes
X509v3 Key Usage: 10
-----BEGIN PRIVATE KEY-----
MIICdwIBADANBgkqhkiG9w0BAQEFAASCAmEwggJdAgEAAoGBAKHqyfc+qcQK4yxJ
om3PuB8dYZm34Qlt81GAAnBPYe3B4Q/0ba6PV8GtWG2svIpcl/eflwGHgTU3zJxR
<snip>
tz86wySJNeOiUkQm36iXVF8AckPKT9TrbC3Ho7nC8OzL7gEllETa4Zc86Z3wpcGF
BHhEDMHaihyuVgI=
-----END PRIVATE KEY-----
Bag Attributes
localKeyID: 01 00 00 00
1.3.6.1.4.1.311.17.3.92: 00 04 00 00
1.3.6.1.4.1.311.17.3.20: 7F 95 38 07 CB 0C 99 DD 41 23 26 15 8B
E8 D8 4B 0A C8 7D 93
friendlyName: cos-oc-vcops
1.3.6.1.4.1.311.17.3.71: 43 00 4F 00 53 00 2D 00 4F 00 43 00 2D
00 56 00 43 00 4D 00 35 00 37 00 31 00 2E 00 76 00 6D 00 77 00
61 00 72 00 65 00 2E 00 63 00 6F 00 6D 00 00 00
1.3.6.1.4.1.311.17.3.87: 00 00 00 00 00 00 00 00 02 00 00 00 20
00 00 00 02 00 00 00 6C 00 64 00 61 00 70 00 3A 00 00 00 7B 00
41 00 45 00 35 00 44 00 44 00 33 00 44 00 30 00 2D 00 36 00 45
00 37 00 30 00 2D 00 34 00 42 00 44 00 42 00 2D 00 39 00 43 00
34 00 31 00 2D 00 31 00 43 00 34 00 41 00 38 00 44 00 43 00 42
00 30 00 38 00 42 00 46 00 7D 00 00 00 70 00 61 00 2D 00 61 00
64 00 63 00 33 00 2E 00 76 00 6D 00 77 00 61 00 72 00 65 00 2E
00 63 00 6F 00 6D 00 5C 00 56 00 4D 00 77 00 61 00 72 00 65 00
20 00 43 00 41 00 00 00 31 00 32 00 33 00 33 00 30 00 00 00
subject=/CN=cos-oc-vcops.eng.vmware.com
issuer=/DC=com/DC=vmware/CN=VMware CA
-----BEGIN CERTIFICATE-----
MIIFWTCCBEGgAwIBAgIKSJGT5gACAAAwKjANBgkqhkiG9w0BAQUFADBBMRMwEQYK
CZImiZPyLGQBGRYDY29tMRYwFAYKCZImiZPyLGQBGRYGdm13YXJlMRIwEAYDVQQD
<snip>
Mc35YerWU8hQNZTsvhTURyoIL03+yxQijRWKU6BcO0eq8wfeT1i1ihrNEI+MhJYf
ht8tiVNpuhvoxdlEq5o9OFImo+TJFvwT6vV4YAA=
-----END CERTIFICATE-----
Bag Attributes
1.3.6.1.4.1.311.17.3.92: 00 08 00 00
1.3.6.1.4.1.311.17.3.20: 12 08 34 FC 8C DF C8 82 A4 EA 43 66 C6
4F 5B 03 D1 23 78 9A
subject=/DC=com/DC=vmware/CN=VMware CA
issuer=/DC=com/DC=vmware/CN=VMware CA
-----BEGIN CERTIFICATE-----

詳細については、以下を参照してください。

vApp Deployment and Configuration Guide
Generating certificates for use with the VMware SSL Certificate Automation Tool (2044696)
vRealize Operations Manager 6.x fails to accept and apply Custom CA Certificate (2144949)

Feedback

thumb_up Yes

thumb_down No