企業ポリシーで、ESXi ホストに VMCA 署名付き証明書の代わりに外部 CA 署名付き証明書を使用する必要がある場合は、外部証明書を手動でホストに追加できます。
サーバに ESXi ソフトウェアをインストールして ESXi ホストを作成すると、ホストには最初に自動生成された証明書があります。デフォルトでは、管理ドメインのブリングアップ中、またはホストに関連するその他の操作(ホストのコミッショニング、VI ワークロード ドメインの作成など)中にホストが vCenter Server システムに追加されると、自動生成された証明書は VMware Certificate Authority (VMCA) によって署名された証明書に置き換えられます。
ブリングアップ中に外部証明書を使用する場合、それらは VMCA 署名付き証明書に置き換えられません。ESXi ホストの外部証明書を使用してブリングアップを実行すると、VMware Cloud Foundation に追加される将来のすべてのホストも外部証明書を使用する必要があります。
前提条件
外部 CA 署名付き証明書とキーを使用できます。
手順
- Web ブラウザで、VMware Host Client を使用して ESXi ホストにログインします。
- ナビゲーション ペインで、[管理] をクリックし、[サービス] タブをクリックします。
- [TSM-SSH] サービスを選択し、開始していない場合は [開始] をクリックします。
- 最初のホストの ESXi Shell に、管理者権限を持つユーザーとして、DCUI から直接、または SSH クライアントからログインします。
- ディレクトリ /etc/vmware/ssl で、次のコマンドを使用して、既存の証明書の名前を変更します。
mv rui.crt orig.rui.crt
mv rui.key orig.rui.key
- 使用する外部証明書とキーを /etc/vmware/ssl にコピーします。
- 外部証明書とキーを、rui.crt および rui.key にそれぞれ名前変更します。
- 次のコマンドを実行して、ホスト管理エージェントを再起動します。
/etc/init.d/hostd restart
/etc/init.d/vpxa restart
- VMware Host Client で、ESXi ホストの [TSM-SSH] サービスを選択し、[停止] をクリックします。
- VMware Cloud Foundation に追加するすべての ESXi ホストについて繰り返します。