企業ポリシーおよび構成するシステムの要件に応じて、異なるタイプの証明書の置き換えを実行できます。置き換え作業はそれぞれ、vSphere Certificate Manager ユーティリティを使用して行うか、インストール製品に組み込まれている CLI を使用して手動で実行できます。

VMCA は、各 Platform Services Controller および組み込みデプロイに組み込まれています。VMCA を使用することにより、各ノード、各 vCenter Server ソリューション ユーザー、および各 ESXi ホストが、認証局としての VMCA によって署名された証明書によりプロビジョニングされます。vCenter Server ソリューション ユーザーは、vCenter Server サービスのグループです。ソリューション ユーザーの一覧については、「vSphere セキュリティ」を参照してください。

デフォルトの証明書は、置き換えることができます。vCenter Server のコンポーネントの場合は、インストール製品に組み込まれているコマンドライン ツールのセットを使用できます。いくつかのオプションが用意されています。

置き換えのワークフロー、および vSphere の証明書マネージャ ユーティリティの詳細については、『vSphere セキュリティ』ドキュメントを参照してください。

VMCA によって署名された証明書との置き換え

VMCA 証明書の有効期限が切れたか、またはその他の理由でその証明書を置き換える場合は、証明書管理 CLI を使用してその処理を実行することができます。デフォルトでは、VMCA ルート証明書が 10 年後に期限切れになり、VMCA が署名するすべての証明書はルート証明書の有効期限が切れると期限切れになります。つまり、最大で 10 年です。

図 1. VMCA によって署名された証明書の VECS への保存
デフォルト モードの場合、VMCA は VMCA によって署名される証明書をプロビジョニングします。

VMCA を中間 CA にする

VMCA のルート証明書は、企業 CA やサードパーティ CA によって署名された証明書と置き換えることができます。VMCA は、証明書をプロビジョニングするごとにカスタム ルート証明書に署名し、VMCA を中間 CA にします。

注:

外部の Platform Services Controller を含めてフレッシュ インストールを実行する場合は、最初に Platform Services Controller をインストールして VMCA ルート証明書を置き換えます。次に、他のサービスをインストールし、使用環境に ESXi ホストを追加します。組み込み Platform Services Controller を含めてフレッシュ インストールを実行する場合は、VMCA ルート証明書を置き換えてから、ESXi ホストを追加します。そうすると、すべての証明書がチェーン全体によって署名され、新しい証明書を生成する必要がなくなります。

図 2. サードパーティまたは企業 CA によって署名された証明書で中間 CA として VMCA を使用する
VMCA 証明書は、中間証明書として組み込まれています。ルート証明書には、サードパーティ CA によって署名されます。

VMCA を使用しない、カスタム証明書によるプロビジョニング

既存の VMCA 署名付き証明書は、カスタム証明書と置き換えることができます。この方法を使用する場合は、証明書のプロビジョニングと監視のすべてについて自分で責任を負ってください。

図 3. 外部証明書が VECS に直接保存される
外部証明書は、VECS に直接的に保存します。VMCA は使用しません。

ハイブリッド デプロイ

VMCA によって証明書の一部を供給し、インフラストラクチャのその他の部分ではカスタム証明書を使用することができます。たとえば、ソリューション ユーザーの証明書は vCenter Single Sign-On への認証でのみ使用されるため、VMCA でそれらの証明書をプロビジョニングすることを検討してください。マシンの SSL 証明書をカスタム証明書と置き換え、すべての SSL トラフィックを保護します。

ESXi 証明書の置き換え

ESXi ホストの場合は、vSphere Web Client から証明書のプロビジョニング処理を変更することができます。

VMware 認証局モード(デフォルト)

vSphere Web Client からの証明書を更新する場合、VMCA はホストの証明書を発行します。VMCA ルート証明書を変更して証明書チェーンを含めるようにする場合、ホストの証明書には全チェーンが含められます。

カスタム認証局モード

VMCA による署名がないか、または発行されていない証明書を、手動で更新して証明書を使用することができます。

サムプリント モード

更新中に 5.5 証明書を維持するために使用できます。このモードは、デバッグ状況のときに一時的にのみ使用してください。