企業ポリシーで、ESXi ホストに VMCA 署名付き証明書の代わりに外部 CA 署名付き証明書を使用する必要がある場合は、外部証明書を手動でホストに追加できます。

サーバに ESXi ソフトウェアをインストールして ESXi ホストを作成すると、ホストには最初に自動生成された証明書があります。デフォルトでは、管理ドメインのブリングアップ中、またはホストに関連するその他の操作(ホストのコミッショニング、VI ワークロード ドメインの作成など)中にホストが vCenter Server システムに追加されると、自動生成された証明書は VMware Certificate Authority (VMCA) によって署名された証明書に置き換えられます。

ブリングアップ中に外部証明書を使用する場合、それらは VMCA 署名付き証明書に置き換えられません。ESXi ホストの外部証明書を使用してブリングアップを実行すると、VMware Cloud Foundation に追加される将来のすべてのホストも外部証明書を使用する必要があります。ブリングアップ時に外部証明書を使用して管理ドメインを作成しない限り、VI ワークロード ドメインの ESXi ホストに外部証明書を使用することはできません。

前提条件

外部 CA 署名付き証明書とキーを使用できます。

手順

  1. 最初のホストの ESXi Shell に、管理者権限を持つユーザーとして、DCUI から直接、または SSH クライアントからログインします。
  2. ディレクトリ /etc/vmware/ssl で、次のコマンドを使用して、既存の証明書の名前を変更します。
    mv rui.crt orig.rui.crt 
    mv rui.key orig.rui.key
  3. 使用する外部証明書とキーを /etc/vmware/ssl にコピーします。
  4. 外部証明書とキーを、rui.crt および rui.key にそれぞれ名前変更します。
  5. 次のコマンドを実行して、ホスト管理エージェントを再起動します。
    /etc/init.d/hostd restart
    /etc/init.d/vpxa restart
  6. VMware Cloud Foundation に追加するすべての ESXi ホストについて繰り返します。

次のタスク

外部証明書を備えた ESXi ホストを使用した管理ドメインの展開を参照してください。