証明書署名要求 (CSR) は、組織名、コモン ネーム、市区町村、国/地域などの特定の情報を含む暗号化されたテキストです。証明書署名要求ファイルを認証局 (CA) に送信して、デジタル ID 証明書を申請します。

デフォルトでは、NSX CSR 生成のユーザー インターフェイスおよび API で SAN フィールドはサポートされていません。SAN を使用して CSR を作成するには、試験的な API /api/v1/trust-management/csrs-extended を使用します。詳細については、『NSX API ガイド』を参照してください。

前提条件

CSR ファイルの詳細を入力するには、情報を収集します。サーバの FQDN、部門名、組織、都市、都道府県、および国/地域を確認しておく必要があります。

手順

  1. 管理者権限で NSX Manager にログインします。
  2. [システム] > [証明書] の順に選択します。
  3. [CSR] タブをクリックします。
  4. [CSR を生成] をクリックし、ドロップダウン メニューから [CSR を生成 ] または [CA CSR の生成] を選択します。
  5. ファイルの詳細をすべて入力します。
    オプション 説明
    コモン ネーム

    サーバの完全修飾ドメイン名 (FQDN) を入力します。

    例:test.vmware.com。

    名前 証明書の名前を割り当てます。
    部門名

    この証明書を扱う組織の部門を入力します。

    例:IT department。

    組織名

    適用されるサフィックスを持つ組織名を入力します。

    例:VMware Inc。

    市区町村

    組織が存在する都市を入力します。

    例:Palo Alto。

    都道府県

    組織が存在する州を入力します。

    例:California。

    国/地域

    組織の場所を追加します。

    例:United States (US)。

    アルゴリズム

    証明書の暗号化アルゴリズムを設定します。

    • RSA 暗号化 - デジタル署名およびメッセージの暗号化に使用されます。
    • ECDSA (Elliptic Curve Digital Signature Algorithm) 暗号化 - EAL4+ コンプライアンスに使用されます。このアルゴリズムのパフォーマンスは、RSA アルゴリズムよりも効率的です。
    キーのサイズ
    暗号化アルゴリズムのキーのビット サイズを設定します。
    • RSA の場合、特にキーのサイズを変更する必要がなければ、デフォルト値の 2048 を使用します。サポートされているその他のサイズは、3072 および 4096 です。多くの CA では、最小値 2048 が必要です。キーのサイズをこれよりも大きくすると、より安全になりますが、パフォーマンスに対する影響が大きくなります。
    • ECDSA は通常、Galois/Counter モード (AES 256 GCM) で 256 ビット キーを含む Advanced Encryption Standard を使用します。その他のキー サイズには 384 ビットと 521 ビットがあります。
    説明 後でこの証明書を識別しやすくするため、特定の詳細を入力します。
  6. [保存] をクリックします。
    カスタムの証明書署名要求がリンクとして表示されます。
  7. CSR を選択し、[アクション] をクリックして、次のオプションのいずれかを選択します。
    • [削除]
    • [CSR の証明書をインポート]
    • [CSR の自己署名証明書]
    • [CSR PEM をダウンロード]

      [CSR PEM をダウンロード] を選択した場合は、記録や認証局への送信のために CSR PEM ファイルを保存することができます。証明書署名要求ファイルのコンテンツを使用して、認証局登録プロセスに従って認証局に証明書要求を送信します。その他の 2 つのオプションについては、CSR の証明書のインポートおよび自己署名証明書の作成のトピックを参照してください。

結果

認証局は、証明書署名要求ファイルの情報に基づいてサーバ証明書を作成し、プライベート キーを使用して署名し、証明書を送信します。CA はまた、ルート CA 証明書も送信します。