デフォルトでは、Auto Deploy サーバは VMCA が署名した証明書を使用して各ホストをプロビジョニングします。VMCA が署名していないカスタム証明書を使用してすべてのホストをプロビジョニングするように、Auto Deploy サーバを設定できます。このシナリオでは、Auto Deploy サーバはサードパーティ認証局の従属認証局になります。

始める前に

  • 要件を満たす証明書を認証局に要求します。

    • キー サイズ:2,048 ビット以上(PEM エンコード)

    • PEM 形式。VMware では、PKCS8 および PKCS1(RSA キー)がサポートされます。VECS に追加されたキーは、PKCS8 に変換されます。

    • x509 バージョン 3

    • ルート証明書の場合、認証局の拡張を true に設定する必要があり、証明書の署名を要件の一覧に含める必要があります。

    • SubjectAltName には DNS Name=<machine_FQDN> が含まれている必要があります。

    • CRT 形式

    • キー使用法として、デジタル署名、非否認、キー暗号化が含まれている必要があります。

    • 現在時刻の 1 日前の開始時刻

    • vCenter Server インベントリにある、ESXi ホストのホスト名(または IP アドレス)に設定された CN (および SubjectAltName)

  • 証明書とキーのファイル(rbd-ca.crtrbd-ca.key)に名前を付けます。

手順

  1. デフォルトの ESXi 証明書をバックアップします。

    証明書は、/etc/vmware-rbd/ssl/ にあります。

  2. vSphere Web Client から Auto Deploy サービスを停止します。
    1. 管理 を選択し、デプロイシステム構成 をクリックします。
    2. サービス をクリックします。
    3. 停止するサービスを右クリックして、停止 を選択します。
  3. Auto Deploy サービスが動作しているシステムで、/etc/vmware-rbd/ssl/ 内の rbd-ca.crtrbd-ca.key を、カスタム証明書とキーのファイルに置換します。
  4. Auto Deploy サービスが動作しているシステムで、新しい証明書を使用するように、VECS 内の TRUSTED_ROOTS ストアを更新します。
    vecs-cli entry delete --store TRUSTED_ROOTS --alias
    				rbd_cert  
    vecs-cli entry create --store TRUSTED_ROOTS --alias
    				rbd_cert --cert /etc/vmware-rbd/ssl/rbd-ca.crt
    

    Windows

    C:\Program Files\VMware\vCenter Server\vmafdd\vecs-cli.exe

    Linux

    /usr/lib/vmware-vmafd/bin/vecs-cli

  5. TRUSTED_ROOTS の内容を含む castore.pem ファイルを作成して、そのファイルを /etc/vmware-rbd/ssl/ ディレクトリに格納します。

    カスタム モードでは、このファイルの保守が必要になります。

  6. vCenter Server システムの証明書モードを custom に変更します。

    証明書モードの変更 を参照してください。

  7. vCenter Server サービスを再開し、Auto Deploy サービスを開始します。

タスクの結果

次に Auto Deploy を使用するように設定されているホストをプロビジョニングするとき、Auto Deploy サーバは、TRUSTED_ROOTS ストアに追加したルート証明書を使用して、証明書を生成します。