ソフトウェア定義ネットワーク インフラストラクチャの証明書の更新

適用対象: Azure Local 2311.2 以降。Windows Server 2022 および Windows Server 2019

この記事では、ソフトウェア定義ネットワーク (SDN) サーバーとソフトウェア ロード バランサー (SLB) マルチプレクサー (MUX) の証明書を更新または変更する方法について説明します。 証明書の更新時に問題が発生した場合は、Microsoft サポートにお問い合わせください。

ネットワーク コントローラー証明書を更新する方法については、「有効期限 が切れる前にネットワーク コントローラー証明書を更新する」を参照してください。

SDN インフラストラクチャでは、ネットワーク コントローラーは証明書ベースの認証を使用して、SLB や物理ホストなどのネットワーク デバイスとの Southbound 通信をセキュリティで保護します。 SLB とサーバーの証明書には有効期限があります。有効期限を過ぎると無効になり、信頼して使用できなくなります。 有効期限が切れる前に更新する必要があります。

証明書を更新または変更するタイミング

SDN サーバーと SLB MUX の証明書を更新または変更できるのは、次の場合です。

• 証明書の有効期限が近づいている。 これらの証明書は有効期限が切れる前であればいつでも実際に更新できます。

  注

  同じキーを使って既存の証明書を更新する場合は、すべて設定されるので、何も実行する必要はありません。

• 自己署名証明書を証明機関 (CA) 署名証明書に変更したい。

  注

  証明書を変更する際には、必ず以前の証明書と同じサブジェクト名を使ってください。

証明書の種類

Azure Local と Windows Server では、物理ホストと SLB MUX 仮想マシン (VM) は、それぞれ 1 つの証明書を使用して、ネットワーク コントローラーとの southbound 通信をセキュリティで保護します。 ネットワーク コントローラーは、物理ホストと SLB MUX VM にポリシーをプッシュします。

証明書の有効期限を確認する

証明書の有効期限を確認するには、それぞれの物理ホストと SLB MUX VM で次のコマンドレットを使用します。

Get-ChildItem Cert:\LocalMachine\My | where{$_.Subject -eq "CN=<Certificate-subject-name>"} | Select-Object NotAfter, Subject

各部分の意味は次のとおりです。

• Certificate-subject-name は、サーバーと SLB MUX VM の完全修飾ドメイン名 (FQDN) です。

SDN サーバーと SLB MUX の証明書の更新

Start-SdnServerCertificateRotation コマンドレットと Start-SdnMuxCertificateRotation コマンドレットを使用して、新しい自己署名証明書を生成し、それらをすべてのサーバーと SLB MUX VM のそれぞれに対して自動的に更新します。 既定では、コマンドレットは有効期間が 3 年の証明書を生成しますが、異なる有効期間を指定できます。 証明書の自動更新は、証明書の有効期限の問題が原因で生じるダウンタイムや計画外の停止を最小限に抑えるのに役立ちます。

注

Bring Your Own Certificate とプレインストールされている証明書を更新する機能は、まだ利用できません。

要件

証明書の更新要件は次のとおりです。

• コマンドレットは、管理ネットワークにアクセスできる任意のマシンで実行する必要があります。 インストール手順については、 SdnDiagnostics モジュールのインストールを参照してください。

• ネットワーク コントローラー、SLB MUX、およびサーバーに対するローカル管理者特権を持つユーザー アカウントを指定するには、Credential アカウントの資格情報が必要です。

自己署名証明書の自動更新

自己署名証明書を生成して自動的に更新するには、次の手順を実行します。

1. 物理ホストで自己署名証明書を生成するために、Start-SdnServerCertificateRotation コマンドレットを実行します。 コマンドレットで -Force パラメーターを使用すると、ローテーション プロセス中に確認のプロンプトや手動入力を回避できます。

   注

   SLB MUX 証明書を更新するには、次のコマンドでコマンドレット名を Start-SdnMuxCertificateRotation に置き換えます。

   • 既定の 3 年の有効期間を設定して自己署名証明書を生成するには、次のコマンドを実行します。

     Import-Module -Name SdnDiagnostics -Force
     Start-SdnServerCertificateRotation -GenerateCertificate -CertPassword (Get-Credential).Password -Credential (Get-Credential)
     

   • 特定の有効期間を設定して自己署名証明書を生成するには、NotAfter パラメーターを使用して有効期間を指定します。 たとえば、有効期間が 5 年の自己署名証明書を生成するには、次のコマンドを実行します。

     Import-Module -Name SdnDiagnostics -Force
     Start-SdnServerCertificateRotation -GenerateCertificate -CertPassword (Get-Credential).Password -NotAfter (Get-Date).AddYears(5) -Credential (Get-Credential)
     

2. 証明書のローテーションを続行することを確認したら、PowerShell コマンド ウィンドウで進行中の操作の状態を表示できます。

   重要

   コマンドレットが完了するまで PowerShell ウィンドウを閉じないでください。 クラスタ内の物理サーバーの数など、環境によっては、完了するまでに数分から 1 時間以上かかる場合があります。

次のステップ

• Azure Local の SDN インフラストラクチャを更新します。