ネットワーク コントローラーの展開後の手順
ネットワーク コントローラーをインストールするときには、Kerberos または Kerberos 以外の展開を選択できます。
Kerberos 以外の展開では、証明書を構成する必要があります。
Kerberos 以外の展開用に証明書を構成する
ネットワーク コントローラーと管理クライアントのコンピューターまたは仮想マシン (VM) がドメインに参加していない場合は、次の手順を実行して証明書ベースの認証を構成する必要があります。
ネットワーク コントローラーでコンピューター認証用の証明書を作成します。 証明書のサブジェクト名は、ネットワーク コントローラーのコンピューターまたは VM の DNS 名と同じである必要があります。
管理クライアントで証明書を作成します。 この証明書は、ネットワーク コントローラーによって信頼されている必要があります。
ネットワーク コントローラーのコンピューターまたは VM で証明書を登録します。 証明書は次の要件を満たす必要があります。
サーバー認証の目的とクライアント認証の目的は両方とも、拡張キー使用法 (EKU) またはアプリケーション ポリシーの拡張機能で構成する必要があります。 サーバー認証のオブジェクト識別子は 1.3.6.1.5.5.7.3.1 です。 クライアント認証のオブジェクト識別子は 1.3.6.1.5.5.7.3.2 です。
証明書のサブジェクト名は次のように解決されます。
ネットワーク コントローラーが 1 台のコンピューターまたは VM に展開されている場合は、ネットワーク コントローラーのコンピューターまたは VM の IP アドレス。
ネットワーク コントローラーが複数のコンピューター、複数の VM、またはその両方に展開されている場合は、REST IP アドレス。
この証明書は、すべての REST クライアントによって信頼されている必要があります。 また、証明書は、ソフトウェア負荷分散 (SLB) マルチプレクサー (MUX) と、ネットワーク コントローラーによって管理される Southbound ホスト コンピューターによって信頼されている必要があります。
証明書は、証明機関 (CA) によって登録するか、自己署名証明書にすることができます。 自己署名証明書は、運用環境の展開では推奨されませんが、テスト ラボ環境では許容されます。
すべてのネットワーク コントローラー ノードで同じ証明書をプロビジョニングする必要があります。 1 つのノードで証明書を作成した後で、(秘密キーを使用して) 証明書をエクスポートし、それを他のノードにインポートすることができます。
詳細については、「Network Controller (ネットワーク コントローラー)」を参照してください。