VMCA ルート証明書は、証明書チェーンに VMCA が中間証明書として含まれる、CA 署名付き証明書に置き換えることができます。将来的に、VMCA によって生成されるすべての証明書には、完全なチェーンが含められます。

始める前に

  • CSR を生成します。

    • CSR は vSphere Certificate Manager を使用して作成できます。を参照してください。vSphere Certificate Manager で CSR を生成し、ルート証明書(中間認証局)を用意する

    • CSR を手動で作成する場合は、署名のために送付する証明書は以下の要件を満たしている必要があります。

      • キー サイズ: 2,048 ビット以上

      • PEM 形式。VMware では、PKCS8 および PKCS1(RSA キー)がサポートされます。VECS に追加されたキーは、PKCS8 に変換されます。

      • x509 バージョン 3

      • カスタム証明書を使用している場合、ルート証明書の認証局の拡張を true に設定し、証明書の署名を要件の一覧に含める必要があります。

      • CRL の署名は有効にしてください。

      • 拡張キー使用法には、クライアント認証またはサーバ認証を含めないでください。

      • 証明書チェーンの長さに明示的な制限はありません。VMware 認証局 (VMCA) では、デフォルトで OpenSSL が使用されます。この場合、10 個の証明書となります。

      • ワイルドカードまたは複数の DNS 名を使用した証明書はサポートされていません。

      • VMCA の従属認証局は作成できません。

        Microsoft Certificate Authority の使用例については、VMware のナレッジベースの記事 2112009 の「vSphere 6.0 で SSL 証明書を作成するために Microsoft 認証局テンプレートを作成する」を参照してください。

  • サードパーティまたはエンタープライズ CA から証明書を受け取った後、その証明書を初期 VMCA ルート証明書と結合し、VMCA ルート証明書が最下部となる完全なチェーンを生成します。vSphere Certificate Manager で CSR を生成し、ルート証明書(中間認証局)を用意する を参照してください。

  • 必要な情報を収集します。

    • administrator@vsphere.local のパスワード。

    • ルートの有効なカスタム証明書(.crt ファイル)。

    • ルートの有効なカスタム キー(.key ファイル)。

このタスクについて

組み込みインストールや外部 Platform Services Controller で vSphere Certificate Manager を実行して、VMCA ルート証明書をカスタム署名証明書に置き換えます。

vSphere Certificate Manager により、次の情報を指定するように求められます。

手順

  1. Platform Services Controller の組み込みインストールまたは外部 Platform Services Controller 上で vSphere Certificate Manager を起動し、オプション 2 を選択します。
  2. オプション 2 を選択して証明書の置き換えを開始し、プロンプトに応答します。
    1. 指示に従い、ルート証明書のフルパスを指定します。
    2. 証明書を初めて置き換えるときには、マシン SSL 証明書に使用される情報の入力を求められます。

      この情報は、マシンの必須 FQDN を含み、certool.cfg ファイルに保存されます。

  3. マルチノード デプロイでルート証明書を置き換える場合は、すべての vCenter Server でサービスを再起動する必要があります。
  4. マルチノード デプロイでは、オプション 3(マシンの SSL 証明書を VMCA 証明書で置き換える)とオプション 6(VMCA 証明書によるソリューション ユーザー証明書の置き換え)を使用して、各 vCenter Server インスタンスですべての証明書を置き換えます。

    証明書を置き換えると、VMCA が完全なチェーンで署名します。

次のタスク

環境によっては、他の証明書も明示的な置き換えが必要になる場合があります。