vSphere 6.0 以降では、VMware 認証局 (VMCA) が証明書を使用して環境のプロビジョニングを行います。これには、安全な接続用のマシン SSL 証明書、vCenter Single Sign-On への認証用のソリューション ユーザー証明書、vCenter Server に追加された ESXi ホスト用の証明書が含まれます。

次の証明書が使用されます。

表 1. vSphere 6.0 内の証明書

証明書

プロビジョニングの実施

保存場所

ESXi 証明書

VMCA(デフォルト)

ESXi ホストのローカル

マシン SSL 証明書

VMCA(デフォルト)

VECS

ソリューション ユーザー証明書

VMCA(デフォルト)

VECS

vCenter Single Sign-On SSL 署名証明書

インストール中にプロビジョニングされます。

この証明書は、vSphere Web Client から管理します。

警告:

予期しない動作が発生することを避けるため、ファイルシステム内でこの証明書を変更しないでください。

VMware ディレクトリ サービス (vmdir) SSL 証明書

インストール中にプロビジョニングされます。

特定のケースで、この証明書の置き換えが必要になる場合があります。VMware ディレクトリ サービス証明書の置き換え を参照してください。

ESXi

ESXi 証明書は、各ホストの /etc/vmware/ssl ディレクトリでローカルに保存されます。ESXi 証明書は、デフォルトでは VMCA によってプロビジョニングされますが、代わりにカスタム証明書を使うこともできます。ESXi 証明書は、ホストが最初に vCenter Server に追加されたときと、ホストが再接続されたときにプロビジョニングされます。

マシン SSL 証明書

各ノードのマシン SSL 証明書は、SSL クライアントの接続先となる、サーバ側の SSL ソケットの作成に使用されます。この証明書は、サーバの検証と、HTTPS や LDAPS などの安全な通信のために使われます。

すべてのサービスが、リバース プロキシを介して通信します。互換性を保つため、以前のバージョンの vSphere で使用されていたサービスでも、特定のポートが使用されます。たとえば、vpxd サービスは、エンドポイントを公開するために MACHINE_SSL_CERT を使います。

すべてのノード(組み込みデプロイ、管理ノード、または Platform Services Controller)に、独自のマシン SSL 証明書があります。そのノードで実行中のすべてのサービスが、このマシン SSL 証明書を使用して SSL エンドポイントを公開します。

マシン SSL 証明書がどのように使われるかを次に示します。

  • Platform Services Controller ノードのリバース プロキシ サービスによって使用されます。個々の vCenter サービスへの SSL 接続では、常にリバース プロキシに接続します。サービス自体にトラフィックが送られることはありません。

  • 管理ノードと組み込みノード上の vCenter サービス (vpxd) によって使用されます。

  • インフラストラクチャ ノードと組み込みノード上の VMware ディレクトリ サービス (vmdir) によって使用されます。

VMware 製品では、コンポーネント間で SSL を介して送られるセッション情報を、標準の X.509 バージョン 3 (X.509v3) 証明書を使用して暗号化します。

ソリューション ユーザー証明書

ソリューション ユーザーは 1 つ以上の vCenter Server サービスをカプセル化し、証明書を使用して、SAML トークンの交換による vCenter Single Sign-On への認証を行います。各ソリューション ユーザーは、vCenter Single Sign-On への認証が必要です。

ソリューション ユーザー証明書は、vCenter Single Sign-On への認証に使用されます。ソリューション ユーザーは、最初に認証が必要になった時、再起動の後、およびタイムアウト時間の経過後に、vCenter Single Sign-On に証明書を提供します。タイムアウト(キーホルダ タイムアウト)は、vSphere Web Client から設定することができ、デフォルト値は 2,592,000 秒(30 日)です。

たとえば、vpxd ソリューション ユーザーは、vCenter Single Sign-On に接続するときに、vCenter Single Sign-On に証明書を提示します。vpxd ソリューション ユーザーは、vCenter Single Sign-On から SAML トークンを受け取り、そのトークンを使用して他のソリューション ユーザーやサービスへの認証を行います。

次のソリューション ユーザー証明書ストアが、各管理ノードと各組み込みデプロイの VECS に含まれています。

  • machine: Component Manager、ライセンス サーバ、およびログ サービスにより使用されます。

    注:

    マシン ソリューション ユーザー証明書は、マシン SSL 証明書とは無関係です。マシン ソリューション ユーザー証明書は SAML トークン交換に使用される一方、マシン SSL 証明書はマシン向けのセキュリティで保護された SSL 接続に使用されます。

  • vpxd:管理ノードおよび組み込みデプロイ上の、vCenter サービス デーモン (vpxd) ストア。vpxd は、このストアに格納されているソリューション ユーザー証明書を使用して、vCenter Single Sign-On への認証を行います。

  • vpxd-extensions:vCenter の拡張機能のストア。Auto Deploy サービス、Inventory Service、およびその他のソリューション ユーザーに含まれないその他のサービス。

  • vsphere-webclientvSphere Web Client ストア。パフォーマンス チャート サービスなどの一部の追加サービスも含まれます。

マシン ストアは、各 Platform Services Controller ノードにも含まれています。

vCenter Single Sign-On 証明書

vCenter Single Sign-On 証明書は、VECS に保存されず、証明書管理ツールで管理しません。原則として変更は必要ありませんが、特別な状況ではこれらの証明書を置き換えることができます。

vCenter Single Sign-On 署名証明書

vCenter Single Sign-On サービスには、vSphere 全体を通じて認証に使用される SAML トークンを発行する ID プロバイダ サービスが含まれます。SAML トークンは、ユーザーの ID を表すほか、グループ メンバーシップ情報を格納します。vCenter Single Sign-On が SAML トークンを発行すると、SAML トークンが信頼できるソースから取得されたことを vCenter Single Sign-On のクライアントが確認できるように、各トークンは署名証明書によって署名されます。

vCenter Single Sign-On は、ソリューション ユーザーにキーホルダ SAML トークンを発行し、ベアラ トークンをその他のユーザーに発行します。このユーザーは、ユーザー名とパスワードを使用してログインします。

この証明書は vSphere Web Client で置き換えることができます。Security Token Service 証明書の更新 を参照してください。

VMware ディレクトリ サービス SSL 証明書

カスタム証明書を使用している場合は、VMware ディレクトリ サービス SSL 証明書の明示的な置き換えが必要になることがあります。VMware ディレクトリ サービス証明書の置き換え を参照してください。