XenCenter

TLS証明書のサーバーへのインストール

XenServerのホストには、デフォルトのTLS証明書がインストールされています。ただし、HTTPSを使用してXenServerとCitrix Virtual Apps and Desktops間の通信を保護するには、信頼できる証明機関から提供された証明書をインストールします。

この記事には、XenCenterでの証明書の使用方法に関する情報が含まれています。xe CLIを使用した証明書の取り扱いについては、「ホストとリソースプール」を参照してください。

要件

TLS証明書とその秘密キーが次の要件を満たしていることを確認します:

  • 証明書とキーペアがRSAキーである
  • キーが証明書と一致する
  • キーは、証明書とは別のファイルで提供される
  • 証明書は、中間証明書とは別のファイルで提供される
  • キーファイルの種類は、.pemまたは.keyのいずれかである
  • 証明書ファイルの種類は、.pem.cer、または.crtのいずれかである
  • キーの長さは、2,048ビット以上4,096ビット以下である
  • キーは暗号化されていないPKCS#8形式のキーで、パスキーがない
  • キーと証明書は、Base64で暗号化された「PEM」形式である
  • 有効期限が切れていない、有効な証明書である
  • 署名アルゴリズムはSHA-2(SHA256)である

選択した証明書とキーがこれらの要件を満たしていない場合は、XenCenterにより警告が表示されます。

証明書のインストール

XenCenterを使用して、XenCenterシステム上の証明書をXenServerホストにインストールできます。

XenServerホストに証明書をインストールするには、プール管理者の役割が必要です。また、XenServerホストで高可用性が無効になっている必要があります。

  1. [証明書のインストール]ダイアログボックスに移動します。このダイアログボックスへは、次のいずれかの方法でアクセスできます:

    • [サーバー]メニューの[証明書のインストール]を選択します。
    • [リソース]ペインでホストを右クリックし、コンテキストメニューで [証明書のインストール] を選択します。
    • ホストの [全般] タブで [証明書] セクションを右クリックし、コンテキストメニューで [証明書のインストール] を選択します。
  2. [証明書のインストール]ダイアログボックスで、秘密キーファイルの場所を参照してファイルを選択します。
  3. サーバー証明書ファイルの場所を参照して、ファイルを選択します。
  4. 証明書チェーンから任意の数の中間証明書を選択して追加できます。

    1. [追加]をクリックします。
    2. 1つまたは複数の中間証明書の場所を参照して、中間証明書を選択します。
  5. [Install]をクリックします。

    XenCenterで証明書が検証されて、インストールされます。

    • 証明書に問題がある場合は、XenCenterにエラーメッセージが表示されます。問題を修正したら、もう一度 [インストール]をクリックします。
    • 証明書が正常にインストールされると、XenCenterに成功メッセージが表示されます。[閉じる]をクリックしてダイアログボックスを閉じます。

XenServerホスト上の証明書を変更すると、開かれた状態の接続はホストによって切断されます。この動作はXenCenterで予期されたことであり、XenServerホストとの接続が再び開かれます。ただし、以前ホストに対して開かれていた他の接続を、別のAPIクライアントやリモートxe CLIなどから手動で再接続することが必要な場合があります。

証明書情報の表示

XenServerホストの [全般] タブには、[証明書] セクションにホストに関する次の情報が表示されます:

  • 証明書の有効期間。証明書の有効期限が近づくと、この文字列は赤色で表示されます。
  • 証明書の拇印

XenServerプールの [全般] タブには、プールに関する次の情報が表示されます:

  • [全般] セクションには、証明書の検証が有効か無効かを示す [証明書の検証]のエントリがあります。
  • [証明書] セクションには、CA証明書の名前、有効期限、および拇印が一覧表示されます。

プールの証明書の検証を有効にする

証明書の検証は、XenServer 8以降の新規インストールでは、デフォルトで有効になっています。詳しくは、「証明書の検証」を参照してください。

以前のバージョンのXenServerからアップグレードする場合、証明書の検証は自動的には有効にならないため、有効にする必要があります。XenCenterでは、アップグレードされたプールに接続するときに、証明書の検証を有効にするように求められます。

プールで証明書の検証を有効にする前に、プールで操作が実行されていないことを確認してください。

XenCenterには、証明書の検証を有効にする方法がいくつかあります。

  • 証明書の検証が有効になっていないプールに初めてXenCenterを接続したとき、有効にするように求められます。[はい。証明書の検証を有効にします]をクリックします。
  • [プール]メニューで、[証明書の検証を有効にする]を選択します。
  • プールの[全般]タブで、[証明書の検証] エントリを右クリックし、メニューから [証明書の検証を有効にする]を選択します。

サーバーID証明書のリセット

サーバーID証明書は、XenCenterまたはxe CLIからリセットできます。証明書をリセットすると、ホストから証明書が削除され、代わりに新しい自己署名証明書がインストールされます。

XenCenterで証明書をリセットするには、以下の手順を実行します:

  1. ホストの [全般] タブに移動します。
  2. [証明書] セクションで、リセットする証明書を右クリックします。
  3. メニューから [証明書のリセット]を選択します。
  4. 表示されるダイアログボックスで[はい]をクリックして、証明書のリセットを確認します。

または、[サーバー] メニューで、[証明書]>[証明書のリセット] に移動できます。

証明書をリセットすると、XenCenterとホスト間の接続など、XenServerホストへの既存の接続がすべて切断されます。

xe CLIを使用して証明書をリセットする方法については、「証明書の検証」を参照してください。

証明書のアラート

証明書の有効期限が近づくと、XenCenterでは [通知]タブの[アラート] セクションにアラートが表示されます。アラートの[操作]メニューから、[証明書のインストール]ダイアログボックスを開くように選択できます。

アラートについて詳しくは、「XenCenterの通知」を参照してください。

TLS証明書のサーバーへのインストール