• Clara Cloudパートナープログラム
  • イベント・セミナー
  • FAQよくある質問
  • 運営会社
Nutanixの月額利用ならClara Cloud
  • Clara Cloudとは
  • プラン・スペック
    • Clara Cloud 専有プラン
    • Clara Cloud LGプラン(共有)
    • Clara Cloud Flex
  • 導入事例
  • 資料ダウンロード
  • お役立ち情報
    • CLARAのクラウドナレッジ
    • Nutanixとは
    • コスト比較
    • FAQ – よくあるご質問
  • お問い合わせ・ご相談
  • Search
  • Menu Menu
Prism に Let's Encrypt で取得したSSL証明書を適用する

Prism に Let’s Encrypt で取得したSSL証明書を適用する

2018年3月23日/in Nutanix, 技術者向け /by Shinjiro Goto
Tweet
このエントリーをはてなブックマークに追加
LINEで送る

PrismのSSL証明書

こんにちは。クララオンラインの吉村です。

Prismをデフォルトで使っていると、SSL証明書のエラーが出てしまいカッコよくありません。

これはデフォルトではPrismに「*.nutanix.local」というSSL証明書が設定されているためで、 Nutanixのドキュメントを見るとこのSSL証明書は自由に変更できるようです。

また、独自SSL証明書に変更することを推奨しています。

Note: Nutanix recommends that customers replace the default self-signed certificate with a CA signed certificate. The Controller VM Security Operations Guide includes more information about certificates, such as generating a private key and certificate signing request (CSR).

というわけで今回は、Let’s Encrypt を Route53 の TXTレコード認証でSSL証明書を取得して、Prsim に設定するまでをご紹介します。

 

Route53の設定

TXTレコードの認証は特に Route53 でなくてもよいのですが、自動化という部分を考慮して certbotとの相性の良さで選びました。

Route53ってなに?という方はこちらをどうぞ。

Amazon Route 53

Hosted Zonesにドメイン登録

まずはRoute53にドメインをHosted zones登録しましょう。簡単です。AWSマネジメントコンソールからポチっとな。

Hosted zones に登録すれば、NSレコードとSOAレコードが出来ますので、それだけでOKです。

 

ドメインのレジストラにDNS登録

次に、ドメインのレジストラにRoute53で表示されるネームサーバを登録してください。

ここは各レジストラによって操作が変わると思うので、割愛します。

 

Route53を操作するAMIユーザ作成

AWSではセキュリティを考慮して必要なAWSリソースのみを扱える権限ユーザを作ります。今回は、Route53に登録したドメインのみ扱えるAMIユーザを作りましょう。

設定ポリシーのサンプルはここにあります。

https://github.com/certbot/certbot/blob/master/certbot-dns-route53/examples/sample-aws-policy.json

以下の YOURHOSTEDZONEID を Route53 に表示されるHosted Zone IDに変更することを忘れないでください。

{
    "Version": "2012-10-17",
    "Id": "certbot-dns-route53 sample policy",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "route53:ListHostedZones",
                "route53:GetChange"
            ],
            "Resource": [
                "*"
            ]
        },
        {
            "Effect" : "Allow",
            "Action" : [
                "route53:ChangeResourceRecordSets"
            ],
            "Resource" : [
                "arn:aws:route53:::hostedzone/YOURHOSTEDZONEID"
            ]
        }
    ]
}

ここで作成したAWSのアクセスキー IDとシークレットキーを利用して、実行環境からRoute53を操作していきます。

 

実行環境の設定

さて、AWSの設定が終わったので、次は実行環境を整備していきます。

私の実行環境は以下の通りです。

OS Ubuntu 16.04.3 LTS (Bash on Windows)
Python python 2.7

aws cli インストール

aptでも、githubからでも、pipでもなんでも良いです。

[bash]

sudo apt install awscli
aws configure

[/bash]

注意点としては、aws configure のデフォルトユーザ設定で、先ほど作成したAMIユーザを設定してください。

この後の作業で、–profile オプションでのユーザ切替は想定してないです。

 

certbot インストール

githubから最新版をダウンロードしてインストールします。

certbotはSSL証明書の更新の自動化のために、crontab を利用します。

そのため、root ユーザでインストール、作業実施しましょう。

[bash]

git clone https://github.com/certbot/certbot
cd certbot
./tools/venv.sh
source venv/bin/activate

[/bash]

 

SSL証明書の取得

ようやく環境が整いました!ここまで来たらもう一息です。

[bash]

## 作業ディレクトリを作成。
mkdir ~/cb-work

## おまじない。
## 私の環境ではこれをやらないと openssl のライブラリ読み込みエラーが出ました。
sudo execstack -c ~/certbot/venv/lib/python2.7/site-packages/cryptography/hazmat/bindings/_openssl.so

## SSL証明書の発行

## 1FQDN test.clara.ne.jp を練習で発行する場合
certbot –config-dir ~/cb-work –work-dir ~/cb-work –logs-dir ~/cb-work certonly –server https://acme-v02.api.letsencrypt.org/directory -a dns-route53 –email メールアドレス –agree-tos –no-eff-email -d ‘test.clara.ne.jp’ -d ‘clara.ne.jp’

# ワイルドカード *.clara.ne.jp を本番で発行する場合
certbot –config-dir ~/cb-work –work-dir ~/cb-work –logs-dir ~/cb-work certonly –server https://acme-v02.api.letsencrypt.org/directory -a dns-route53 –email メールアドレス –agree-tos –no-eff-email -d ‘*.clara.ne.jp’ -d ‘clara.ne.jp’

[/bash]

しばらく待つと・・・

[bash]

IMPORTANT NOTES:
– Congratulations! Your certificate and chain have been saved at:
~/cb-work/live/test.clara.ne.jp/fullchain.pem
Your key file has been saved at:
~/cb-work/live/test.clara.ne.jp/privkey.pem

[/bash]

 

 

出来ました!

PrismにSSL証明書を適用する

Let’s Encrypt でSSL証明書の取得が完了しました。あとはPrismにこのSSL証明書を設定してあげましょう。

インポートに必要な項目

PrismへのSSL証明書をインポートするには以下の4つの項目が必要です。

項目名 意味
certificate-path サーバのSSL証明書

Let’s Encrypt で取得した cert.pem ファイル

cacertificate-path CA中間証明書

Let’s Encrypt で取得した chain.pem ファイル

※RootCA証明書も追記する

key-path サーバのSSL証明書の秘密鍵

Let’s Encrypt で取得した privkey.pem ファイル

key-type 秘密鍵の暗号タイプと鍵長

Let’s Encrypt の場合には、RSA_2048

ハマりポイントは、Let’s Encrypt でそのまま取得したCA中間証明書では、インポートに失敗します。

Let’s Encrypt のRoot証明書をCA中間証明書に追記してあげましょう。

Let’s Encrypt のRoot証明書はこちらからダウンロードできます。

Root Certificates

 

Prismにインポート

Prismからインポートする方法とCVMからncliを利用してインポートする方法があります。

Prismからインストールする方法は以下の通り

Prismの設定メニューから「SSL証明書を選択」

 

「Replace Cetificate」を選択

 

「Import Key and Certificate」を選択

 

各項目で選択を行い、「Import Files」で完了です。完了すると、Prismのセッションが切れて、再度ログインが必要になります。

 

なお、ncliで実行する場合には、ワンライナーで実行可能です。

[bash]
ncli ssl-certificate import certificate-path=”~/dev001_claris_clara_ne_jp.pem” cacertificate-path=”~/ca_chain.pem” key-path=”~/dev001_claris_clara_ne_jp_privatekey.pem” key-type=”RSA_2048″
Certificate imported.
[/bash]

 

以上、PrismにLet’s Encrypt のSSL証明書を適用する説明でした。

Tweet
このエントリーをはてなブックマークに追加
LINEで送る

Tags: ncli, Prism
https://cloud.clara.jp/cms/wp-content/uploads/lets-encrypt.jpg 630 1200 Shinjiro Goto https://cloud.clara.jp/cms/wp-content/uploads/2020/04/claracloud_logo.png Shinjiro Goto2018-03-23 13:17:442021-06-16 18:12:02Prism に Let’s Encrypt で取得したSSL証明書を適用する

最新の記事

  • 恒久的な利益を生み出す、インフラコスト削減の方法とは?2022年4月1日 - 4:30 pm
  • HCIはどうやって誕生した?インフラの歴史 | 後編2022年1月21日 - 1:18 pm
  • HCIはどうやって誕生した?インフラの歴史 | 前編2022年1月21日 - 12:24 pm

カテゴリー

  • ITインフラ
  • Nutanix
  • 基礎知識
  • 移行・リプレース
  • 技術・テック
  • メディア掲載記事
Popular
  • 恒久的な利益を生み出す、インフラコス...2022年4月1日 - 4:30 pm
  • 2025年の崖を乗り越えるための切り札になるか?第三の選択肢「オンプレミス...2020年4月13日 - 4:09 pm
  • クララオンラインが明かす、オンプレ/パブリッククラウドの使い分けと新たなクラウドの潮流「HCI...2020年4月13日 - 3:47 pm
  • 膨大なデータ管理に悩む医療機関、ITイ...2020年4月13日 - 11:03 am
  • Nutanix 移行ツール move を使用したAWS環境からの移行-マイグレーションプラン作成とカットオーバーNutanix 移行ツール move を使用したAWS環境...2020年4月9日 - 12:06 pm
  • Nutanix移行ツールmoveを使用したAWS環境からの移行-ソース・ターゲット登録Nutanix移行ツールmoveを使用したAWS環境か...2020年4月2日 - 6:17 pm
  • Nutanix 移行ツールmoveの展開Nutanix 移行ツールmoveの展開2020年3月24日 - 6:03 pm
  • マイナビニュース スペシャルセミナー 〜クラウド移行の正しい期待値〜...2020年3月19日 - 11:09 am
  • Nutanix AHV環境から外部ESXi環境へのVMディスクイメージのインポートNutanix AHV環境から外部ESXi環境へのVMディ...2020年3月19日 - 10:56 am
  • 非機能要求グレードを読んだよ!2019年12月19日 - 3:09 pm
Clara Cloud導入事例集Clara Cloud導入事例集ダウンロード
Tweet
このエントリーをはてなブックマークに追加
LINEで送る

お役立ち資料

Clara Cloudの導入検討やインフラ選定に役立つ資料をご提供しています。各詳細ページからダウンロードフォームにてご請求いただけます。

パンデミックを乗り越える!中小企業のインフラお悩み解決書

企業や組織内の今後のIT対する投資、意思決定者・現場担当者が今後12ヵ月で進めたいクラウド戦略を掲載した「パンデミックを乗り越える!中小企業のインフラお悩み解決書」がダウンロード可能です。
Read more
https://cloud.clara.jp/cms/wp-content/uploads/InfraSolutionBook_thumbnail.jpg 300 500 岡本侑子 https://cloud.clara.jp/cms/wp-content/uploads/2020/04/claracloud_logo.png 岡本侑子2021-06-29 14:05:162021-06-29 15:12:19パンデミックを乗り越える!中小企業のインフラお悩み解決書

Clara Cloud導入事例集 一括ダウンロード

Clara Cloudの導入事例として、ライフサイエンスコンピューティング株式会社様(医療系)、日本電算企画株式会社様(VDI利用)の内容をダウンロードできます。
Read more
https://cloud.clara.jp/cms/wp-content/uploads/claracloud-dl-docs-all_bnr.jpg 300 500 Shinjiro Goto https://cloud.clara.jp/cms/wp-content/uploads/2020/04/claracloud_logo.png Shinjiro Goto2021-06-28 19:48:482021-06-29 16:45:45Clara Cloud導入事例集 一括ダウンロード
Clara Cloud Nutanixの月額利用(サービス概要資料)

Clara Cloudサービス概要資料 一括ダウンロード

ハードウェアを持たずにNutanixが使える月額サブスクリプションサービスClara Cloudのサービス概要がダウンロード可能です。
Read more
https://cloud.clara.jp/cms/wp-content/uploads/claracloud_overview02.jpg 300 500 Shinjiro Goto https://cloud.clara.jp/cms/wp-content/uploads/2020/04/claracloud_logo.png Shinjiro Goto2021-06-23 12:40:362021-09-08 18:21:59Clara Cloudサービス概要資料 一括ダウンロード
すべての資料を見る

ITインフラを移行して、開発に注力できる体制を作る。

Clara Cloudを導入した企業では、ITインフラの運用管理の業務を大幅に省力化できたり、50%近くものコスト削減を実現できた例、またインフラ運用・調達の方法を従来と変えたことで開発スピードが上がり自社サービスの価値向上につながった例もあります。

私たちが目指すのは、インフラ維持管理にかかる労力を最小限にし、情シス部門・IT部門がサービス開発や業務改善などの本質的な価値ある業務に注力できるようにすること。

Clara Cloudであればインフラ基盤を移すだけで、それが実現可能です。

資料をダウンロードする
導入事例を読む

サービスについて

Clara Cloudとは

プラン・スペック
– Clara Cloud 専有プラン
– Clara Cloud LGプラン(共有)
– Clara Cloud Flex

導入事例

お役立ち情報

資料ダウンロード

Claraのクラウドナレッジ

Nutanixとは

コスト比較

FAQ – よくあるご質問

お問い合わせ

パートナープログラム

パートナー相談・申込

お問い合わせ

イベント

イベント・セミナー情報

  • 会社概要
  • 情報セキュリティ基本方針
  • 個人情報の取り扱いについて
  • 約款・規約
  • サポートポリシー

 powered by CLARA ONLINE

© CLARA ONLINE, Inc.

Tweet
このエントリーをはてなブックマークに追加
LINEで送る

Nunitax loves HIPHOP Nunitax loves HIPHOP ncli で CVM に公開鍵を登録してSSHアクセスする方法 ncli で CVM に公開鍵を登録してSSHアクセスする方法
Scroll to top