新しい証明書インフラストラクチャの影響は、環境の要件、実行するのが新規インストールかアップグレードか、ESXi または vCenter Server を考慮しているかどうかによって異なります。

管理者が VMware 証明書を置き換えない場合

管理者が現時点で VMware 証明書を置き換えていない場合、VMCA ですべての証明書管理を扱うことができます。VMCA をルート認証局として使用する証明書を使って、vCenter Server コンポーネントおよび ESXi ホストを VMCA でプロビジョニングします。以前のバージョンの vSphere から vSphere 6 にアップグレードしている場合、自己署名証明書はすべて VMCA によって署名された証明書に置き換えられます。

管理者が VMware 証明書をカスタム証明書に置き換える場合

企業ポリシーで、サードパーティ認証局かエンタープライズ認証局によって署名された証明書、またはカスタム証明書の情報が求められる場合、新規インストールでは管理者に次の選択肢があります。

  • VMCA ルート証明書を CA 署名付き証明書に置き換えます。このシナリオでは、VMCA 証明書がこのサードパーティ CA の中間証明書になります。完全な証明書チェーンを含む証明書を使用して、vCenter Server コンポーネントおよび ESXi ホストを VMCA でプロビジョニングします。

  • 企業ポリシーで、チェーン内の中間証明書が許可されない場合は、証明書を明示的に置き換える必要があります。vSphere Certificate Manager ユーティリティを使用するか、証明書管理 CLI を使用して証明書を手動で置き換えることができます。

カスタム証明書を使用する環境をアップグレードする場合、一部の証明書を保持できます。

  • ESXi ホストは、アップグレード中にカスタム証明書を保持します。vCenter Server アップグレード プロセスで、関連するすべてのルート証明書が、vCenter Server の VECS の TRUSTED_ROOTS ストアに追加されたことを確認してください。

    vCenter Server のアップグレード後に、管理者は、証明書モードを [カスタム] に設定できます(証明書モードの変更を参照)。証明書モードが VMCA(デフォルト)で、ユーザーが vSphere Web Client から証明書の更新を実行する場合、VMCA 署名付き証明書によってカスタム証明書が置き換えられます。

  • vCenter Server コンポーネントでは、既存の環境によって処理が異なります。

    • シンプル インストールを組み込みデプロイにアップグレードする場合、vCenter Server のカスタム証明書は保持されます。アップグレード後の環境は、以前と同様に動作します。

    • vCenter Single Sign-On が他の vCenter Server コンポーネントとは別のマシン上にある複数サイトのデプロイをアップグレードする場合、アップグレード プロセスによって、1 つの Platform Services Controller ノードと 1 つ以上の管理ノードが含まれる、マルチノード デプロイが作成されます。

      このシナリオで、既存の vCenter Server 証明書および vCenter Single Sign-On 証明書は保持され、マシン SSL 証明書として使用されます。VMCA 署名付き証明書が、VMCA によって各ソリューション ユーザー(vCenter サービスのコレクション)に割り当てられます。ソリューション ユーザーは、vCenter Single Sign-On への認証にのみ、この証明書を使用します。そのため、ソリューション ユーザー証明書の置き換えは不要な場合があります。

    vSphere 5.5 のインストールで使用可能だった、vSphere 5.5 証明書置き換えツールは使用できなくなりました。これは、アーキテクチャが新しくなった結果、サービスの分布および配置が変わるためです。ほとんどの証明書管理タスクで、新しいコマンドライン ユーティリティ (vSphere Certificate Manager) を使用できます。

vCenter 証明書インターフェイス

vCenter Server では、次のツールとインターフェイスを使用して、証明書の表示および置き換えを行えます。

vSphere Certificate Manager ユーティリティ

証明書置き換えに関連するすべての一般的なタスクを、コマンドラインから実行します。

証明書管理 CLI

すべての証明書管理タスクを dir-clicertool、および vecs-cli を使用して実行します。

vSphere Web Client 証明書管理

証明書を表示します(有効期限情報を含む)。

ESXi では、vSphere Web Client から証明書管理を実行します。証明書は VMCA によってプロビジョニングされ、vmdir や VECS ではなく、ESXi ホストのローカルにのみ保存されます。ESXi ホストの証明書管理 を参照してください。

サポートされる vCenter 証明書

vCenter ServerPlatform Services Controller、および関連するマシンとサービスでは、次の証明書がサポートされます。

  • VMware 認証局 (VMCA) によって生成され、署名された証明書。

  • カスタム証明書。

    • 独自の内部 PKI から生成されるエンタープライズ証明書。

    • Verisign や GoDaddy などの外部 PKI で生成された、サードパーティ CA 署名付き証明書。

ルート CA が存在しない OpenSSL を使用して作成された、自己署名証明書はサポートされません。