XenCenter

TLS証明書のサーバーへのインストール

注:

XenCenter 2023.xxは現在プレビュー段階にあり、実稼働環境でのサポートはされていません。これ以降に記載する実稼働環境でのサポートは、XenCenter 2023.xxおよびXenServer 8がプレビューステータスから一般提供に移行したときに初めて適用されることに注意してください。

XenServer 8およびCitrix Hypervisor 8.2 CU1の非実稼働環境は、XenCenter 2023.xxを使用して管理できます。これに対し、Citrix Hypervisor 8.2 CU1実稼働環境を管理する場合は、XenCenter 8.2.7を使用できます。詳しくは、XenCenter 8.2.7 documentationを参照してください。

XenCenter 8.2.7とXenCenter 2023.xxは同じシステムにインストールできます。XenCenter 2023.xxをインストールしても、XenCenter 8.2.7のインストールは上書きされません。

XenServerのホストには、デフォルトのTLS証明書がインストールされています。ただし、HTTPSを使用してXenServerとCitrix Virtual Apps and Desktops間の通信を保護するには、信頼できる証明機関から提供された証明書をインストールします。

この記事には、XenCenterでの証明書の使用方法に関する情報が含まれています。xe CLIを使用した証明書の取り扱いについては、「ホストとリソースプール」を参照してください。

要件

TLS証明書とその秘密キーが次の要件を満たしていることを確認します:

  • 証明書とキーペアがRSAキーである
  • キーが証明書と一致する
  • キーは、証明書とは別のファイルで提供される
  • 証明書は、中間証明書とは別のファイルで提供される
  • キーファイルの種類は、.pemまたは.keyのいずれかである
  • 証明書ファイルの種類は、.pem.cer、または.crtのいずれかである
  • キーの長さは、2,048ビット以上4,096ビット以下である
  • キーは暗号化されていないPKCS#8形式のキーで、パスキーがない
  • キーと証明書は、Base64で暗号化された「PEM」形式である
  • 有効期限が切れていない、有効な証明書である
  • 署名アルゴリズムはSHA-2(SHA256)である

選択した証明書とキーがこれらの要件を満たしていない場合は、XenCenterにより警告が表示されます。

証明書のインストール

XenCenterを使用して、XenCenterシステム上の証明書をXenServerホストにインストールできます。

XenServerホストに証明書をインストールするには、プール管理者の役割が必要です。また、XenServerホストで高可用性が無効になっている必要があります。

  1. [証明書のインストール]ダイアログボックスに移動します。このダイアログボックスへは、次のいずれかの方法でアクセスできます:

    • [サーバー]メニューの[証明書のインストール]を選択します。
    • [リソース]ペインでホストを右クリックし、コンテキストメニューで [証明書のインストール] を選択します。
    • ホストの [全般] タブで [証明書] セクションを右クリックし、コンテキストメニューで [証明書のインストール] を選択します。
  2. [証明書のインストール]ダイアログボックスで、秘密キーファイルの場所を参照してファイルを選択します。
  3. サーバー証明書ファイルの場所を参照して、ファイルを選択します。
  4. 証明書チェーンから任意の数の中間証明書を選択して追加できます。

    1. [追加]をクリックします。
    2. 1つまたは複数の中間証明書の場所を参照して、中間証明書を選択します。
  5. [Install]をクリックします。

    XenCenterで証明書が検証されて、インストールされます。

    • 証明書に問題がある場合は、XenCenterにエラーメッセージが表示されます。問題を修正したら、もう一度 [インストール]をクリックします。
    • 証明書が正常にインストールされると、XenCenterに成功メッセージが表示されます。[閉じる]をクリックしてダイアログボックスを閉じます。

XenServerホスト上の証明書を変更すると、開かれた状態の接続はホストによって切断されます。この動作はXenCenterで予期されたことであり、XenServerホストとの接続が再び開かれます。ただし、以前ホストに対して開かれていた他の接続を、別のAPIクライアントやリモートxe CLIなどから手動で再接続することが必要な場合があります。

証明書情報の表示

XenServerホストの [全般] タブには、[証明書] セクションにホストに関する次の情報が表示されます:

  • 証明書の有効期間。証明書の有効期限が近づくと、この文字列は赤色で表示されます。
  • 証明書の拇印

XenServerプールの [全般] タブには、プールに関する次の情報が表示されます:

  • [全般] セクションには、証明書の検証が有効か無効かを示す [証明書の検証]のエントリがあります。
  • [証明書] セクションには、CA証明書の名前、有効期限、および拇印が一覧表示されます。

プールの証明書の検証を有効にする

証明書の検証は、XenServer 8以降の新規インストールでは、デフォルトで有効になっています。詳しくは、「証明書の検証」を参照してください。

以前のバージョンのXenServerからアップグレードする場合、証明書の検証は自動的には有効にならないため、有効にする必要があります。XenCenterでは、アップグレードされたプールに接続するときに、証明書の検証を有効にするように求められます。

プールで証明書の検証を有効にする前に、プールで操作が実行されていないことを確認してください。

XenCenterには、証明書の検証を有効にする方法がいくつかあります。

  • 証明書の検証が有効になっていないプールに初めてXenCenterを接続したとき、有効にするように求められます。[はい。証明書の検証を有効にします]をクリックします。
  • [プール]メニューで、[証明書の検証を有効にする]を選択します。
  • プールの[全般]タブで、[証明書の検証] エントリを右クリックし、メニューから [証明書の検証を有効にする]を選択します。

サーバーID証明書のリセット

サーバーID証明書は、XenCenterまたはxe CLIからリセットできます。証明書をリセットすると、ホストから証明書が削除され、代わりに新しい自己署名証明書がインストールされます。

XenCenterで証明書をリセットするには、以下の手順を実行します:

  1. ホストの [全般] タブに移動します。
  2. [証明書] セクションで、リセットする証明書を右クリックします。
  3. メニューから [証明書のリセット]を選択します。
  4. 表示されるダイアログボックスで[はい]をクリックして、証明書のリセットを確認します。

または、[サーバー] メニューで、[証明書]>[証明書のリセット] に移動できます。

証明書をリセットすると、XenCenterとホスト間の接続など、XenServerホストへの既存の接続がすべて切断されます。

xe CLIを使用して証明書をリセットする方法については、「証明書の検証」を参照してください。

証明書のアラート

証明書の有効期限が近づくと、XenCenterでは [通知]タブの[アラート] セクションにアラートが表示されます。アラートの[操作]メニューから、[証明書のインストール]ダイアログボックスを開くように選択できます。

アラートについて詳しくは、「XenCenterの通知」を参照してください。

TLS証明書のサーバーへのインストール