多くの企業では、置き換えが必要となるのは外部からアクセス可能なサービスの証明書のみです。ただし、Certificate Manager では、ソリューション ユーザー証明書の置き換えもサポートしています。ソリューション ユーザーはサービスのコレクションです。たとえば、vSphere Web Client に関連付けられたすべてのサービスもソリューション ユーザーになります。複数ノードのデプロイでは、Platform Services Controller 上のマシン ソリューション ユーザー証明書および各管理ノード上のソリューション ユーザーのフル セットを置き換えます。

このタスクについて

ソリューション ユーザー証明書を求められたら、サードパーティ CA の完全な署名証明書チェーンを提供します。

次のような形式になります。

-----BEGIN CERTIFICATE-----
Signing certificate
-----END CERTIFICATE-----
-----BEGIN CERTIFICATE-----
CA intermediate certificates
-----END CERTIFICATE-----
-----BEGIN CERTIFICATE-----
Root certificate of enterprise or external CA
-----END CERTIFICATE-----

前提条件

開始する前に、環境内のマシンごとに CSR が存在している必要があります。CSR は、vSphere Certificate Manager を使用して生成することも、明示的に生成することもできます。

  1. vSphere Certificate Manager を使用して CSR を生成するには、vSphere Certificate Manager による証明書署名要求の生成(カスタム証明書)を参照してください。

  2. 各ノードのソリューション ユーザーごとに、サードパーティ CA またはエンタープライズ CA の証明書を要求します。CSR は、vSphere Certificate Manager を使用して生成することも、管理者自身が準備することもできます。CSR は次の要件を満たす必要があります。

    • キー サイズ:2,048 ビット以上(PEM エンコード)

    • CRT 形式

    • x509 バージョン 3

    • SubjectAltName には DNS Name=<machine_FQDN> が含まれている必要があります。

    • 各ソリューション ユーザー証明書には異なる Subject が指定されている必要があります。たとえば、ソリューション ユーザー名(例: vpxd)などの一意の識別子を含めることができます。

    • キー使用法として、デジタル署名、非否認、キー暗号化が含まれている必要があります。

当社のナレッジ ベースの記事「Obtaining vSphere certificates from a Microsoft Certificate Authority」 (2112014) も参照してください。

手順

  1. vSphere Certificate Manager を起動して、オプション 5 を選択します。
  2. オプション 2 を選択して証明書の置き換えを開始し、プロンプトに応答します。

    vSphere Certificate Manager により、次の情報を指定するように求められます。

    • administrator@vsphere.local のパスワード。

    • マシン ソリューション ユーザーの証明書およびキー。

    • vSphere Certificate Manager を Platform Services Controller ノード上で実行している場合は、マシン ソリューション ユーザーの証明書とキー(vpxd.crt および vpxd.key)を求めるメッセージが表示されます。

    • vSphere Certificate Manager を管理ノードまたは組み込みデプロイで実行している場合は、すべてのソリューション ユーザーの証明書およびキー(vpxd.crt および vpxd.key)のフル セットを求めるメッセージが表示されます。

次のタスク

vSphere 5.x 環境からアップグレードする場合は、必要に応じて vmdir 内の vCenter Single Sign-On 証明書を置き換えます。混合モード環境での VMware ディレクトリ サービス証明書の置き換えを参照してください。