セキュリティを強化するために、Horizon 7 Cloud Connector 仮想アプライアンスのカスタム CA 署名付き証明書 を構成できます。
前提条件
n 完全な証明書チェーンが PEM 形式で使用できることを確認します。
n プライベートキーが PEM 形式で使用できることを確認します。
n 発行された証明書に FQDN と Subject Alt Name が含まれていることを確認します。
手順
1 Horizon 7 Cloud Connector 仮想アプライアンスへの SSH セッションを開きます。
2 ディレクトリ /root/server.crt に CA 署名付き証明書をコピーします。
3 ディレクトリ /root/server.key に CA 署名キーをコピーします。
Horizon 7 のインストール
4 既存の証明書をバックアップします。
n バージョン 1.4 以降の Horizon 7 Cloud Connector では、次のコマンドを使用します。
cp /opt/container-data/certs/hze-nginx/server.crt /opt/container-data/certs/hze-nginx/
server.crt.orig
n バージョン 1.3 以前の Horizon 7 Cloud Connector では、次のコマンドを使用します。
cp /etc/nginx/ssl/server.crt /etc/nginx/ssl/server.crt.orig
5 既存のキーをバックアップします。
n バージョン 1.4 以降の Horizon 7 Cloud Connector では、次のコマンドを使用します。
cp /opt/container-data/certs/hze-nginx/server.key /opt/container-data/certs/hze-nginx/
server.key.orig
n バージョン 1.3 以前の Horizon 7 Cloud Connector では、次のコマンドを使用します。
cp /etc/nginx/ssl/server.key /etc/nginx/ssl/server.key.orig
6 既存のnginx confファイルをコピーします。
n バージョン 1.4 以降の Horizon 7 Cloud Connector では、次のコマンドを使用します。
cp /opt/container-data/conf/hze-nginx/nginx.conf /opt/container-data/conf/hze-nginx/
nginx.conf.orig
n バージョン 1.3 以前の Horizon 7 Cloud Connector では、次のコマンドを使用します。
cp /etc/nginx/nginx.conf /etc/nginx/nginx.conf.orig
7 お使いの仮想アプライアンスのバージョンに適したディレクトリに CA 証明書をコピーします。
n バージョン 1.4 以降の Horizon 7 Cloud Connector では、次のコマンドを使用します。
cp /root/server.crt /opt/container-data/certs/hze-nginx/server.crt
n バージョン 1.3 以前の Horizon 7 Cloud Connector では、次のコマンドを使用します。
cp /root/server.crt /etc/nginx/ssl/server.crt
8 お使いの仮想アプライアンスのバージョンに適したディレクトリに CA 証明書のキーファイルをコピーします。
n バージョン 1.4 以降の Horizon 7 Cloud Connector では、次のコマンドを使用します。
cp /root/server.key /opt/container-data/certs/hze-nginx/server.key
n バージョン 1.3 以前の Horizon 7 Cloud Connector では、次のコマンドを使用します。
cp /root/server.key /etc/nginx/ssl/server.key
9 証明書とキーファイルの所有者と権限を確認します。
n バージョン 1.4 以降の Horizon 7 Cloud Connector では、次のコマンドを使用します。
chown -R hze-nginx:hze-nginx /opt/container-data/certs/hze-nginx chmod 644 /opt/container-data/certs/hze-nginx/server.crt
chmod 600 /opt/container-data/certs/hze-nginx/server.key
n バージョン 1.3 以前の Horizon 7 Cloud Connector では、次のコマンドを使用します。
chown -R root:root /etc/nginx/ssl chmod -R 600 /etc/nginx/ssl
10 証明書内の発行された FQDN が、nginxの構成ファイルにあるサーバリスン 443 ブロックのサーバ名ディレク ティブと一致することを確認します。
n バージョン 1.4 以降の Horizon 7 Cloud Connector では、nginxの構成ファイルは /opt/container-data/conf/hze-nginx/nginx.conf にあります。
n バージョン 1.3 以前の Horizon 7 Cloud Connector では、nginxの構成ファイルは /etc/nginx/
nginx.conf にあります。
11 nginxを確認して再起動します。
n バージョン 1.4 以降の Horizon 7 Cloud Connector では、次のコマンドを使用します。
docker exec -i hze-nginx sudo nginx -t systemctl restart hze-nginx
n バージョン 1.3 以前の Horizon 7 Cloud Connector では、次のコマンドを使用します。
nginx -t
systemctl restart nginx
12 バージョン 1.4 以降の Horizon 7 Cloud Connector では、[ようこそ] 画面で SSL サムプリントを更新します。
次のコマンドを使用します。
docker exec -i hze-core sudo /opt/vmware/bin/configure-welcome-screen.py /usr/bin/killall --quiet vami_login
13 新しい証明書をテストするには、Web ブラウザで Horizon 7 Cloud Connector ユーザーインターフェイスの URL を再ロードします。
14(オプション)証明書が正常に動作する場合は、バックアップファイルを削除します。
n バージョン 1.4 以降の Horizon 7 Cloud Connector では、次のコマンドを使用します。
rm /opt/container-data/certs/hze-nginx/server.crt.orig rm /opt/container-data/certs/hze-nginx/server.key.orig rm /opt/container-data/conf/hze-nginx/nginx.conf.orig Horizon 7 のインストール
n バージョン 1.3 以前の Horizon 7 Cloud Connector では、次のコマンドを使用します。
rm /etc/nginx/ssl/server.crt.orig rm /etc/nginx/ssl/server.key.orig rm /etc/nginx/nginx.conf.orig
15 ルートディレクトリにコピーした CA 証明書とキーファイルを削除します。
次のコマンドを使用します。
rm /root/server.crt rm /root/server.key