ESXi は、インストール プロセスの一部として作成され、自動生成された証明書を使用します。これらの証明書は一意です。サーバの使用は開始できますが、立証はできず、信頼できる認証局 (CA) によって署名されているものではありません。このトピックでは、デフォルトの証明書を自己署名または CA 署名の証明書と置き換える方法を説明します。

始める前に

  • CA 署名の証明書を使用する場合は、証明書要求を生成して認証局に送信し、受信する証明書をホストがアクセスできる場所に保存します。

  • 必要に応じて、ESXi Shell を有効にするか、vSphere Web Client からの SSH トラフィックを有効にします。vSphere Web Client を使用した ESXi Shell へのアクセスの有効化 を参照してください。

  • ファイルのすべての転送および通信は、安全な HTTPS セッションを介して行われます。セッションの認証に使用されるユーザーには、ホストでの権限 ホスト > 構成 > 詳細構成 (ホストが対象) が必要です。ESXi の権限の詳細については、『vSphere 単一ホスト管理』を参照してください。

このタスクについて

デフォルトの証明書を使用すると、自社のセキュリティ ポリシーを満たさないことがあります。信頼できる認証局からの証明書が必要な場合は、デフォルトの証明書を置き換えることができます。

注:

ホストで 証明書の検証 が有効になっている場合、デフォルトの証明書を置き換えると、vCenter Server によるホストの管理が停止する可能性があります。vCenter Server が新しい証明書を検証できない場合は、ホストを切断して再接続します。

ESXi は、X.509 証明書のみをサポートして、サーバおよびクライアント コンポーネント間で SSL 接続を介して送信されるセッション情報を暗号化します。

手順

  1. ESXi Shell に、管理者権限を持つユーザーとして、DCUI から直接、または SSH クライアントからログインします。
  2. ディレクトリ /etc/vmware/ssl で、次のコマンドを使用して、既存の証明書の名前を変更します。

    mv rui.crt orig.rui.crt
    mv rui.key orig.rui.key

  3. 使用する証明書を /etc/vmware/ssl にコピーします。
  4. 新しい証明書と鍵を、rui.crt および rui.key にそれぞれ名前変更します。
  5. 新しい証明書をインストールしたら、ホストを再起動します。

    または、ホストをメンテナンス モードにして、新しい証明書をインストールした後、ダイレクト コンソール ユーザー インターフェイス (DCUI) を使用して管理エージェントを再起動し、メンテナンス モードを終了するようにホストを設定することができます。