マシン SSL 証明書を置き換えたら、すべてのソリューション ユーザー証明書を置き換えることができます。ソリューション ユーザー証明書は有効である必要があります。ここでの「有効」とは、有効期限が切れておらず、証明書に含まれるその他の情報が証明書インフラストラクチャで使用されていないことを意味します。
多くの VMware のユーザーの多くがソリューション ユーザー証明書を置き換えていません。マシン SSL 証明書だけがカスタム証明書に置き換えられています。このハイブリッド アプローチによって、セキュリティ チームの要求を満たすことができます。
- 証明書はプロキシの内側に配置されるか、カスタム証明書が使用されます。
- 中間 CAは使用されません。
各管理ノードおよび各 Platform Services Controller ノードにあるマシン ソリューション ユーザー証明書を置き換えます。各管理ノードにある他のソリューション ユーザー証明書のみを置き換えます。外部 --server がある管理ノードでコマンドを実行する場合は、Platform Services Controller パラメータを使用して Platform Services Controller を指定します。
注: 大規模なデプロイで、ソリューション ユーザー証明書をリストする場合は、
dir-cli list の出力にすべてのノードのソリューション ユーザーが含まれます。
vmafd-cli get-machine-id --server-name localhost を実行して、各ホストのローカル マシン ID を検索します。各ソリューション ユーザーの名前には、マシン ID が含まれています。
前提条件
すべてのサービスを停止し、証明書の伝達およびストレージを処理するサービスを開始する準備ができている。
手順
例: VMCA 署名付きソリューション ユーザー証明書の使用
- 各ソリューション ユーザーにパブリック/プライベート キーのペアを生成します。これには、各 Platform Services Controller のマシン ソリューション ユーザーおよび各管理ノードのペアと、各管理ノードの各追加ソリューション ユーザー (vpxd、vpxd-extension、vsphere-webclient) のペアが含まれます。
- 組み込みデプロイのマシン ソリューション ユーザーまたは Platform Services Controller のマシン ソリューション ユーザーのキー ペアを生成します。
C:\>"C:\Program Files\VMware\vCenter Server\vmcad\"certool --genkey --privkey=machine-key.priv --pubkey=machine-key.pub
- (オプション)外部 Platform Services Controller を使用したデプロイの場合、各管理ノードのマシン ソリューション ユーザーにキー ペアを生成します。
C:\>"C:\Program Files\VMware\vCenter Server\vmcad\"certool --genkey --privkey=machine-key.priv --pubkey=machine-key.pub
- 各管理ノードの vpxd ソリューション ユーザーにキー ペアを生成します。
C:\>"C:\Program Files\VMware\vCenter Server\vmcad\"certool --genkey --privkey=vpxd-key.priv --pubkey=vpxd-key.pub
- 各管理ノードの vpxd-extension ソリューション ユーザーにキー ペアを生成します。
C:\>"C:\Program Files\VMware\vCenter Server\vmcad\"certool --genkey --privkey=vpxd-extension-key.priv --pubkey=vpxd-extension-key.pub
- 各管理ノードの vsphere-webclient ソリューション ユーザーにキー ペアを生成します。
C:\>"C:\Program Files\VMware\vCenter Server\vmcad\"certool --genkey --privkey=vsphere-webclient-key.priv --pubkey=vsphere-webclient-key.pub
- 組み込みデプロイのマシン ソリューション ユーザーまたは Platform Services Controller のマシン ソリューション ユーザーのキー ペアを生成します。
- 各 Platform Services Controller および各管理ノードのマシン ソリューション ユーザーと、各管理ノードの各追加ソリューション ユーザー (vpxd、vpxd-extension、vsphere-webclient) に新しい VMCA ルート証明書によって署名されたソリューション ユーザー証明書を生成します。
注: --Name パラメータは一意である必要があります。ソリューション ユーザー ストアの名前も含めると、ソリューション ユーザーごとにどの証明書を適用するのかが確認しやすくなります。例には、それぞれ vpxd または vpxd-extension のような名前が含まれています。
- 以下のコマンドを Platform Services Controller ノードで実行し、そのノードのマシン ソリューション ユーザーにソリューション ユーザー証明書を生成します。
C:\>"C:\Program Files\VMware\vCenter Server\vmcad\"certool --gencert --cert=new-machine.crt --privkey=machine-key.priv --Name=machine
- 各管理ノードのマシン ソリューション ユーザーに証明書を生成します。
C:\>"C:\Program Files\VMware\vCenter Server\vmcad\"certool --gencert --cert=new-machine.crt --privkey=machine-key.priv --Name=machine --server=<psc-ip-or-fqdn>
- 各管理ノードの vpxd ソリューション ユーザーに証明書を生成します。
C:\>"C:\Program Files\VMware\vCenter Server\vmcad\"certool --gencert --cert=new-vpxd.crt --privkey=vpxd-key.priv --Name=vpxd --server=<psc-ip-or-fqdn>
- 各管理ノードの vpxd-extensions ソリューション ユーザーに証明書を生成します。
C:\>"C:\Program Files\VMware\vCenter Server\vmcad\"certool --gencert --cert=new-vpxd-extension.crt --privkey=vpxd-extension-key.priv --Name=vpxd-extension --server=<psc-ip-or-fqdn>
- 次のコマンドを実行して、各管理ノードの vsphere-webclient ソリューション ユーザーに証明書を生成します。
C:\>"C:\Program Files\VMware\vCenter Server\vmcad\"certool --gencert --cert=new-vsphere-webclient.crt --privkey=vsphere-webclient-key.priv --Name=vsphere-webclient --server=<psc-ip-or-fqdn>
- 以下のコマンドを Platform Services Controller ノードで実行し、そのノードのマシン ソリューション ユーザーにソリューション ユーザー証明書を生成します。
- VECS のソリューション ユーザー証明書を、新しいソリューション ユーザー証明書で置き換えます。
注: --store と --alias パラメータは、サービスのデフォルト名と正確に一致させる必要があります。
- Platform Services Controller ノードで、以下のコマンドを実行してマシン ソリューション ユーザー証明書を置き換えます。
C:\>"C:\Program Files\VMware\vCenter Server\vmafdd\"vecs-cli entry delete --store machine --alias machine C:\>"C:\Program Files\VMware\vCenter Server\vmafdd\"vecs-cli entry create --store machine --alias machine --cert new-machine.crt --key machine-key.priv
- 以下のように、各管理ノードのマシン ソリューション ユーザー証明書を置き換えます。
C:\>"C:\Program Files\VMware\vCenter Server\vmafdd\"vecs-cli entry delete --store machine --alias machine C:\>"C:\Program Files\VMware\vCenter Server\vmafdd\"vecs-cli entry create --store machine --alias machine --cert new-machine-vc.crt --key machine-vc-key.priv
- 各管理ノードの vpxd ソリューション ユーザー証明書を置き換えます。
C:\>"C:\Program Files\VMware\vCenter Server\vmafdd\"vecs-cli entry delete --store vpxd --alias vpxd C:\>"C:\Program Files\VMware\vCenter Server\vmafdd\"vecs-cli entry create --store vpxd --alias vpxd --cert new-vpxd.crt --key vpxd-key.priv
- 各管理ノードの vpxd-extension ソリューション ユーザー証明書を置き換えます。
C:\>"C:\Program Files\VMware\vCenter Server\vmafdd\"vecs-cli entry delete --store vpxd-extension --alias vpxd-extension C:\>"C:\Program Files\VMware\vCenter Server\vmafdd\"vecs-cli entry create --store vpxd-extension --alias vpxd-extension --cert new-vpxd-extension.crt --key vpxd-extension-key.priv
- 各管理ノードの vsphere-webclient ソリューション ユーザー証明書を置き換えます。
C:\>"C:\Program Files\VMware\vCenter Server\vmafdd\"vecs-cli entry delete --store vsphere-webclient --alias vsphere-webclient C:\>"C:\Program Files\VMware\vCenter Server\vmafdd\"vecs-cli entry create --store vsphere-webclient --alias vsphere-webclient --cert new-vsphere-webclient.crt --key vsphere-webclient-key.priv
- Platform Services Controller ノードで、以下のコマンドを実行してマシン ソリューション ユーザー証明書を置き換えます。
- 新しいソリューション ユーザー証明書を使用して VMware ディレクトリ サービス (vmdir) を更新します。vCenter Single Sign-On 管理者パスワードを求められます。
- dir-cli service list を実行し、ソリューション ユーザーごとに一意のサービス ID サフィックスを取得します。このコマンドは、Platform Services Controller または vCenter Server システム上で実行できます。
C:\>"C:\Program Files\VMware\vCenter Server\vmafdd\"dir-cli>dir-cli service list output: 1. machine-29a45d00-60a7-11e4-96ff-00505689639a 2. machine-6fd7f140-60a9-11e4-9e28-005056895a69 3. vpxd-6fd7f140-60a9-11e4-9e28-005056895a69 4. vpxd-extension-6fd7f140-60a9-11e4-9e28-005056895a69 5. vsphere-webclient-6fd7f140-60a9-11e4-9e28-005056895a69
注: 大規模なデプロイで、ソリューション ユーザー証明書をリストする場合は、 dir-cli list の出力にすべてのノードのソリューション ユーザーが含まれます。 vmafd-cli get-machine-id --server-name localhost を実行して、各ホストのローカル マシン ID を検索します。各ソリューション ユーザーの名前には、マシン ID が含まれています。 - Platform Services Controller の vmdir にあるマシン証明書を置き換えます。たとえば、machine-29a45d00-60a7-11e4-96ff-00505689639a が Platform Services Controller のマシン ソリューション ユーザーの場合、以下のコマンドを実行します。
C:\>"C:\Program Files\VMware\vCenter Server\vmafdd\"dir-cli service update --name machine-29a45d00-60a7-11e4-96ff-00505689639a --cert new-machine-1.crt
- 各管理ノードの vmdir にあるマシン証明書を置き換えます。たとえば、machine-6fd7f140-60a9-11e4-9e28-005056895a69 が vCenter Server のマシン ソリューション ユーザーの場合、以下のコマンドを実行します。
C:\>"C:\Program Files\VMware\vCenter Server\vmafdd\"dir-cli service update --name machine-6fd7f140-60a9-11e4-9e28-005056895a69 --cert new-machine-2.crt
- 各管理ノードの vmdir にある vpxd ソリューション ユーザー証明書を置き換えます。たとえば、vpxd-6fd7f140-60a9-11e4-9e28-005056895a69 が vpxd ソリューション ユーザー ID の場合、以下のコマンドを実行します。
C:\>"C:\Program Files\VMware\vCenter Server\vmafdd\"dir-cli service update --name vpxd-6fd7f140-60a9-11e4-9e28-005056895a69 --cert new-vpxd.crt
- 各管理ノードの vmdir にある vpxd-extension ソリューション ユーザー証明書を置き換えます。たとえば、vpxd-extension-6fd7f140-60a9-11e4-9e28-005056895a69 が vpxd-extension ソリューション ユーザー ID の場合、以下のコマンドを実行します。
C:\>"C:\Program Files\VMware\vCenter Server\vmafdd\"dir-cli service update --name vpxd-extension-6fd7f140-60a9-11e4-9e28-005056895a69 --cert new-vpxd-extension.crt
- 各管理ノードの vsphere-webclient ソリューション ユーザー証明書を置き換えます。たとえば、vsphere-webclient-6fd7f140-60a9-11e4-9e28-005056895a69 が vsphere-webclient ソリューション ユーザー ID の場合、以下のコマンドを実行します。
C:\>"C:\Program Files\VMware\vCenter Server\vmafdd\"dir-cli service update --name vsphere-webclient-6fd7f140-60a9-11e4-9e28-005056895a69 --cert new-vsphere-webclient.crt
- dir-cli service list を実行し、ソリューション ユーザーごとに一意のサービス ID サフィックスを取得します。このコマンドは、Platform Services Controller または vCenter Server システム上で実行できます。
次のタスク
各 Platform Services Controller ノードおよび各管理ノード上のすべてのサービスを再起動します。