カスタム証明書を取得したら、各マシン証明書を置き換えることができます。

始める前に

サードパーティまたはエンタープライズ認証局から各マシンの証明書を取得している必要があります。

  • キー サイズ:2,048 ビット以上(PEM エンコード)

  • CRT 形式

  • x509 バージョン 3

  • SubjectAltName には DNS Name=<machine_FQDN> が含まれている必要があります。

  • キー使用法として、デジタル署名、非否認、キー暗号化が含まれている必要があります。

このタスクについて

各マシンには、他のサービスとの安全な通信を実現するため、マシン SSL 証明書が必要です。マルチノード環境では、各ノードでマシン SSL 証明書生成コマンドを実行する必要があります。外部の Platform Services Controller を使用する vCenter ServerPlatform Services Controller を参照するには、--server パラメータを使用します。

証明書の置き換えを開始する前に、次の情報を確認しておく必要があります。

  • administrator@vsphere.local のパスワード。

  • 有効なマシン SSL カスタム証明書(.crt ファイル)。

  • 有効なマシン SSL カスタム キー(.key ファイル)。

  • ルートの有効なカスタム証明書(.crt ファイル)。

  • マルチノード 環境内の外部の Platform Services Controller を使用する vCenter Server 上でこのコマンドを実行する場合は、Platform Services Controller の IP アドレス。

手順

  1. すべてのサービスを停止し、証明書の作成、伝達、およびストレージを処理するサービスを開始します。

    サービス名は、Windows 上と vCenter Server Appliance 上で異なります。

    Windows

    service-control --stop --all
    service-control --start VMWareAfdService
    service-control --start VMWareDirectoryService
    service-control --start VMWareCertificateService
    

    vCenter Server Appliance

    service-control --stop --all
    service-control --start vmafdd
    service-control --start vmdird
    service-control --start vmcad
    
  2. 各ノードにログインし、取得した新しいマシン証明書を CA から VECS に追加します。

    SSL を介して通信するには、すべてのマシンのローカル証明書ストアに、新しい証明書が必要です。

    vecs-cli entry delete --store MACHINE_SSL_CERT --alias __MACHINE_CERT
    vecs-cli entry create --store MACHINE_SSL_CERT --alias __MACHINE_CERT --cert <cert-file-path>
    --key <key-file-path>
  3. すべてのサービスを再開します。
    service-control --start --all
    

カスタム証明書によるマシン SSL 証明書の置き換え

各ノードのマシン SSL 証明書も同様に置き換えることができます。

  1. 最初に、VECS にある既存の証明書を削除します。

    "C:\Program Files\VMware\vCenter Server\vmafdd\"vecs-cli entry delete --store MACHINE_SSL_CERT --alias __MACHINE_CERT
  2. 次に置き換える証明書を追加します。

    "C:\Program Files\VMware\vCenter Server\vmafdd\"vecs-cli entry create --store MACHINE_SSL_CERT --alias __MACHINE_CERT --cert E:\custom-certs\ms-ca\signed-ssl\custom-w1-vim-cat-dhcp-094.eng.vmware.com.crt --key E:\custom-certs\ms-ca\signed-ssl\custom-x3-vim-cat-dhcp-1128.vmware.com.priv

次のタスク

使用している ESXi ホストの証明書を置き換えることもできます。『vSphere セキュリティ』ドキュメントを参照してください。

マルチノード デプロイでルート証明書を置き換えた後は、外部の Platform Services Controller ノードを使用するすべての vCenter Server 上でサービスを再起動する必要があります。