ITよろづや

ITの参考になる情報を備忘録代わりに残していきます

VMwareConnectionServerでデフォルトのSSL証明書と差し替える方法

VMware View5.Xのコネクションサーバーでhttpsでアクセスさせたい場合、デフォルトでインストールされている証明書が利用できます。


ただ、VMware社の推奨では、オレオレ証明書は偽装されやすいので、変更することを推奨しています。


そして、SSL証明書を変更する方法は以下のドキュメントセンターで手順が紹介されています。

>>View サーバ用の SSL 証明書の構成


以下はドキュメントセンターの手順にあるCSRの作成方法です。

①コマンド プロンプトを開き、keytool を使用してキーストア ファイルを作成します。
例: keytool -genkeypair -keyalg "RSA" -keysize 2048 -keystore keys.jks -storepass secret
中間証明書をキーストア ファイルにインポートする場合は、keys.jks などの Java キーストア ファイルを指定する必要があります。

②keytool ユーティリティからユーザーの姓名の入力を求められたら、クライアント コンピュータがホストへの接続に使用する完全修飾ドメイン名(FQDN)を入力します。

③keytool を使用して、certificate.csr といった名前の CSR ファイルを作成します。
例: keytool -certreq -file certificate.csr -keystore keys.jks -storepass secret
keytool は、キーストア ファイルと同じディレクトリに CSR ファイルを作成します。

④CA の登録プロセスに従って CSR ファイルを CA に送信し、証明書を要求します。
CA は、要求元の会社について確認した後、要求に署名し、自身の秘密鍵で暗号化して、有効な証明書を要求者に送信します。

また、上記の代わりにIISCSRを発行してマイクロソフト認証局などにサーバー証明書を発行してもらうことでもOKです。



そして、証明書の準備が出来たら、以下の手順をコネクションサーバーで実施します。

>>新しい証明書を使用するように View Connection Server インスタンスまたはセキュリティ サーバを構成する
 
①証明書を含む keystore ファイルを、View Connection Server ホストまたはセキュリティ サーバ ホストの SSL ゲートウェイ構成ディレクトリにコピーします。
 
例: <install_directory>\VMware\VMware View\Server\sslgateway\conf\<keystore_file>
<keystore_file> は keystore ファイルの名前です。
たとえば、keytool ユーティリティで証明書をインポートした場合、keystore ファイルは keys.jks である可能性があります。

既存の PKCS#12 ファイルがある場合、または既存の Microsoft IIS SSL サーバ証明書をエクスポートした場合、keystore ファイルは keys.pfx である可能性があります。

②View Connection Server ホストまたはセキュリティ サーバ ホストの SSL ゲートウェイ構成ディレクトリの locked.properties ファイルに、keyfile、keypass、および storetype プロパティを追加します。
 
locked.properties ファイルがまだない場合は、作成する必要があります。

a:keyfile プロパティに、keystore ファイルの名前を設定します。
例: keyfile=keys.jks または keyfile=keys.pfx

b:keypass プロパティに、keystore ファイルのパスワードを設定します。
例: keypass=MY_PASS

c:keystore ファイルの種類に合わせて storetype プロパティを設定します。
 
作成するlocked.properties ファイルは以下のような感じです。

---------
keyfile=keys.pfx
keypass=MY_PASS
storetype=pkcs12
---------


最後に、変更を反映するため、View Connection Server サービスの再起動、もしくはサーバー自体の再起動を実施します。


また、マイクロソフトの証明書を利用する場合は、以下を参考にしてください。

>>Windows Server 2012 R2へ証明書サービス(AD CS)のインストール手順 



マイクロソフトの証明書を利用する手順としては、

①ADをインストール
②ADCSのインストール
IISもインストールされる
IISCSRの発行
サーバー証明書
④証明書テンプレートの作成
サーバ証明書を利用。秘密キーのエクスポートにチェック
⑤証明書の有効化
⑥以下にアクセス
http://localhost/certsrv
⑦証明書の要求
※⑤で有効化した証明書を指定
⑧証明書のダウンロード

【ここからコネクションサーバーで作業】
⑨コネクションサーバーに証明書のインポート
コンピューターコンテナの「個人」へ
⑩既存の証明書のフレンドリー名の「vdm」を削除
⑪インポートしたの証明書のフレンドリー名の「vdm」を追加
⑫管理画面が起動できることを確認

※コネクションサーバーにインポートする証明書は秘密キーが含まれる形でエクスポートしてください。

マイクロソフトの証明書サービスを構築できるようになると、色々と証明書を使えるので便利ですね。