証明書の要件は、VMware 認証局 (VMCA) を中間認証局 (CA) として使用するか、カスタム証明書を使用するかによって異なります。要件は、マシン証明書およびソリューション ユーザー証明書に対しても異なります。

開始する前に、環境内ですべてのノードの時刻が確実に同期されるようにします。

すべてのインポートされた証明書の要件

  • キー サイズ:2,048 ビット以上(PEM エンコード)

  • PEM 形式。VMware では、PKCS8 および PKCS1(RSA キー)がサポートされます。VECS に追加したキーは、PKCS8 に変換されます。

  • x509 バージョン 3

  • SubjectAltName には DNS Name=machine_FQDN が含まれている必要があります。

  • CRT 形式

  • キー使用法として、デジタル署名、非否認、キー暗号化が含まれている必要があります。

  • クライアント認証とサーバ認証を拡張キー使用法に含めることはできません。

VMCA は、次の証明書をサポートしていません。

  • ワイルドカードによる証明書

  • 推奨されていないアルゴリズムは、md2WithRSAEncryption 1.2.840.113549.1.1.2、md5WithRSAEncryption 1.2.840.113549.1.1.4、および sha1WithRSAEncryption 1.2.840.113549.1.1.5 です。

  • OID が 1.2.840.113549.1.1.10 のアルゴリズム RSASSA-PSS はサポートされていません。

RFC 2253 に対する証明書のコンプライアンス

証明書は、RFC 2253 に準拠している必要があります。

CSR の生成に Certificate Manager を使用しない場合は、CSR に次のフィールドが確実に含まれるようにします。

文字列

X.500 属性のタイプ

CN

commonName

L

localityName

ST

stateOrProvinceName

O

organizationName

OU

organizationalUnitName

C

countryName

STREET

streetAddress

DC

domainComponent

UID

userid

CSR の生成に Certificate Manager を使用する場合は、次の情報を指定するように求められ、Certificate Manager によって CSR ファイルに対応するフィールドが追加されます。

  • administrator@vsphere.local ユーザー、つまり接続している vCenter Single Sign-On ドメインの管理者のパスワード。

  • 外部 Platform Services Controller が存在する環境で CSR を生成している場合、その Platform Services Controller のホスト名または IP アドレスを求められます。

  • Certificate Manager によって Certool.cfg ファイルに保存される情報。ほとんどのフィールドで、デフォルト値を受け入れたり、サイト固有の値を指定したりできます。マシンの FQDN が必要です。

    • administrator@vsphere.local のパスワード。

    • 2 文字の国名コード

    • 会社名

    • 組織名

    • 組織単位

    • 状態

    • 地域

    • IP アドレス(オプション)

    • 電子メール

    • ホスト名、すなわち証明書を置き換えるマシンの完全修飾ドメイン名ホスト名が FQDN と一致しない場合、証明書の置き換えは正しく完了せず、環境が不安定な状態になる可能性があります。

    • Platform Services Controller の IP アドレス(コマンドを vCenter Server(管理)ノード上で実行している場合)

VMCA を中間 CA として使用する場合の要件

VMCA を中間 CA として使用する場合、証明書は、次の要件を満たす必要があります。

証明書タイプ

証明書の要件

ルート証明書

  • CSR は vSphere Certificate Manager を使用して作成できます。vSphere Certificate Manager で CSR を生成し、ルート証明書(中間認証局)を用意するを参照してください。

  • CSR を手動で作成する場合は、署名のために送付する証明書は以下の要件を満たしている必要があります。

    • キー サイズ: 2,048 ビット以上

    • PEM 形式。VMware では、PKCS8 および PKCS1(RSA キー)がサポートされます。VECS に追加されたキーは、PKCS8 に変換されます。

    • x509 バージョン 3

    • カスタム証明書を使用している場合、ルート証明書の認証局の拡張を true に設定し、証明書の署名を要件の一覧に含める必要があります。

    • CRL の署名は有効にしてください。

    • 拡張キー使用法には、クライアント認証またはサーバ認証を含めないでください。

    • 証明書チェーンの長さに明示的な制限はありません。VMware 認証局 (VMCA) では、デフォルトで OpenSSL が使用されます。この場合、10 個の証明書となります。

    • ワイルドカードまたは複数の DNS 名を使用した証明書はサポートされていません。

    • VMCA の従属認証局は作成できません。

      Microsoft Certificate Authority の使用例については、VMware のナレッジベースの記事 2112009 の「vSphere 6.0 で SSL 証明書を作成するために Microsoft 認証局テンプレートを作成する」を参照してください。

マシン SSL 証明書

vSphere Certificate Manager を使用して CSR を作成するか、手動で CSR を作成することができます。

CSR を手動で作成する場合、上記の「すべてのインポートされた証明書の要件」の下に記載されている要件を満たす必要があります。ホストの FQDN を指定する必要もあります。

ソリューション ユーザー証明書

vSphere Certificate Manager を使用して CSR を作成するか、手動で CSR を作成することができます。

注:

各ソリューション ユーザーの名前には異なる値を使用する必要があります。証明書を手動で生成する場合、使用するツールに応じて、サブジェクトCN として表示される可能性があります。

vSphere Certificate Manager を使用する場合、各ソリューション ユーザーの証明書情報を求められます。vSphere Certificate Manager によって、certool.cfg に情報が保存されます。「Information that Certificate Manager Prompts For」を参照してください。

カスタム 証明書の要件

カスタム証明書を使用する場合、証明書は次の要件を満たす必要があります。

証明書タイプ

証明書の要件

マシン SSL 証明書

各ノード上のマシン SSL 証明書には、サードパーティまたはエンタープライズ CA からの個別の証明書が必要です。

  • vSphere Certificate Manager を使用して CSR を生成したり、手動で CSR を作成できます。CSR は、上記の「すべてのインポートされた証明書の要件」の下に記載されている要件を満たす必要があります。

  • vSphere Certificate Manager を使用する場合、各ソリューション ユーザーの証明書情報を求められます。vSphere Certificate Manager によって、certool.cfg に情報が保存されます。「Information that Certificate Manager Prompts For」を参照してください。

  • ほとんどのフィールドで、デフォルト値を受け入れたり、サイト固有の値を指定したりできます。マシンの FQDN が必要です。

ソリューション ユーザー証明書

各ノード上の各ソリューション ユーザーには、サードパーティまたはエンタープライズ CA からの個別の証明書が必要です。

  • CSR は、vSphere Certificate Manager を使用して生成することも、CSR を自分で準備することもできます。CSR は、上記の「すべてのインポートされた証明書の要件」の下に記載されている要件を満たす必要があります。

  • vSphere Certificate Manager を使用する場合、各ソリューション ユーザーの証明書情報を求められます。vSphere Certificate Manager によって、certool.cfg に情報が保存されます。「Information that Certificate Manager Prompts For」を参照してください。

    注:

    各ソリューション ユーザーの名前には異なる値を使用する必要があります。証明書を手動で生成する場合、使用するツールに応じて、サブジェクトCN として表示される可能性があります。

後でソリューション ユーザー証明書をカスタム証明書と置き換える場合、サードパーティの CA の署名証明書チェーンすべてを指定します。

注:

カスタム証明書の CRL Distribution Point、Authority Information Access、または証明書テンプレートの情報を使用しないでください。