カスタム証明書による VMware 認証局 (VMCA) 証明書の置き換えの最初の手順は、CSR を生成し、署名のために CSR を送信することです。続いて、署名済みの証明書をルート証明書として VMware 認証局 (VMCA) に追加します。
Certificate Manager ユーティリティなどのツールを使用して CSR を生成できます。CSR は次の要件を満たす必要があります。
- キー サイズ: 2,048 ビット以上
- PEM 形式。VMware では、PKCS8 および PKCS1(RSA キー)がサポートされます。VECS に追加されたキーは、PKCS8 に変換されます。
- x509 バージョン 3
- カスタム証明書を使用している場合、ルート証明書の認証局の拡張を true に設定し、証明書の署名を要件の一覧に含める必要があります。
- CRL の署名は有効にしてください。
- [拡張キー使用] は、空にするか、[サーバ認証] を指定します。
- 証明書チェーンの長さに明示的な制限はありません。VMware 認証局 (VMCA) では、デフォルトで OpenSSL が使用されます。この場合、10 個の証明書となります。
- ワイルドカードまたは複数の DNS 名を使用した証明書はサポートされていません。
- VMCA の従属認証局は作成できません。
Microsoft Certificate Authority の使用例については、VMware のナレッジベースの記事「Creating a Microsoft Certificate Authority Template for SSL certificate creation in vSphere 6.x (2112009)」(http://kb.vmware.com/kb/2112009) を参照してください。
VMCA は、ルート証明書を置き換えるときに、証明書の次の属性を検証します。
- キーのサイズ:2,048 ビット以上
- キーの使用:証明書の署名
- 基本制約:サブジェクト タイプ CA
手順
例: ルート証明書の置き換え
certool コマンドに --rootcaオプションを指定して、VMCA ルート証明書をカスタムの CA ルート証明書に置き換えます。
C:\>"C:\Program Files\VMware\vCenter Server\vmcad\certool" --rootca --cert=C:\custom-certs\root.pem -–privkey=C:\custom-certs\root.key
このコマンドを実行すると、次の処理が行われます。
- ファイル システム内の証明書がある場所に、新しいカスタム ルート証明書が追加されます。
- VECS の TRUSTED_ROOTS ストアに、カスタム ルート証明書が追加されます。
- vmdir にカスタム ルート証明書が追加されます。
次のタスク
元の VMCA ルート証明書は証明書ストアから削除できます(会社のポリシーで求められている場合)。その場合、vCenter Single Sign-On 署名証明書を置き換える必要があります。Security Token Service 証明書の更新を参照してください。