vSphere 6.0 以降では、VMware 認証局 (VMCA) が証明書を使用して環境のプロビジョニングを行います。証明書には、安全な接続のための SSL 証明書、vCenter Single Sign-On へのサービスの認証のためのソリューション ユーザー証明書、および ESXi ホスト用の証明書があります。

次の証明書が使用されます。

表 1. vSphere 6.0 内の証明書

証明書

プロビジョニング済み

コメント

ESXi 証明書

VMCA(デフォルト)

ESXi ホスト上にローカルに保存されます

マシン SSL 証明書

VMCA(デフォルト)

VECS に保存されます

ソリューション ユーザー証明書

VMCA(デフォルト)

VECS に保存されます

vCenter Single Sign-On SSL 署名証明書

インストール中にプロビジョニングされます。

この証明書は、vSphere Web Client から管理します。

警告:

予期しない動作が発生することを避けるため、ファイルシステム内でこの証明書を変更しないでください。

VMware Directory Service (VMDIR) SSL 証明書

インストール中にプロビジョニングされます。

vSphere 6.5 以降では、マシン SSL 証明書は vmdir 証明書として使用されます。

ESXi

ESXi 証明書は、各ホストの /etc/vmware/ssl ディレクトリでローカルに保存されます。ESXi 証明書は、デフォルトでは VMCA によってプロビジョニングされますが、代わりにカスタム証明書を使うこともできます。ESXi 証明書は、ホストが最初に vCenter Server に追加されたときと、ホストが再接続されたときにプロビジョニングされます。

マシン SSL 証明書

各ノードのマシン SSL 証明書は、サーバ側の SSL ソケットの作成に使用されます。SSL クライアントはこの SSL ソケットに接続します。この証明書は、サーバの検証と、HTTPS や LDAPS などの安全な通信のために使われます。

ノードごとに専用のマシン SSL 証明書があります。ノードには、vCenter Server インスタンス、Platform Services Controller インスタンス、または組み込みのデプロイ インスタンスが含まれています。ノードで実行中のすべてのサービスが、マシン SSL 証明書を使用して SSL エンドポイントを公開します。

マシン SSL 証明書を使用するサービスは次のとおりです。

  • Platform Services Controller ノードのリバース プロキシ サービス。個々の vCenter サービスへの SSL 接続では、常にリバース プロキシに接続します。サービス自体にトラフィックが送られることはありません。

  • 管理ノードと組み込みノード上の vCenter サービス (vpxd)。

  • インフラストラクチャ ノードと組み込みノード上の VMware Directory Service (vmdir)。

VMware 製品では、標準の X.509 バージョン 3 (X.509v3) 証明書を使用して、セッション情報を暗号化します。セッション情報は、SSL を介してコンポーネント間で送信されます。

ソリューション ユーザー証明書

ソリューション ユーザーでは、1 つ以上の vCenter Server サービスがカプセル化されています。各ソリューション ユーザーは、vCenter Single Sign-On への認証が必要です。ソリューション ユーザーは証明書を使用して、SAML トークンの交換による vCenter Single Sign-On への認証を行います。

ソリューション ユーザーは、最初に認証が必要になった時、再起動の後、およびタイムアウト時間の経過後に、vCenter Single Sign-On に証明書を提供します。タイムアウト(キーホルダ タイムアウト)は、vSphere Web Client または Platform Services Controller Web インターフェイスから設定することができ、デフォルト値は 2,592,000 秒(30 日)です。

たとえば、vpxd ソリューション ユーザーは、vCenter Single Sign-On に接続するときに、vCenter Single Sign-On に証明書を提示します。vpxd ソリューション ユーザーは、vCenter Single Sign-On から SAML トークンを受け取り、そのトークンを使用して他のソリューション ユーザーやサービスへの認証を行います。

次のソリューション ユーザー証明書ストアが、各管理ノードと各組み込みデプロイの VECS に含まれています。

  • machine: Component Manager、License Server、およびログ サービスにより使用されます。

    注:

    マシン ソリューション ユーザー証明書は、マシン SSL 証明書とは無関係です。マシン ソリューション ユーザー証明書は、SAML トークン交換に使用されます。マシン SSL 証明書は、マシン向けのセキュア SSL 接続に使用されます。

  • vpxd:管理ノードおよび組み込みデプロイ上の、vCenter サービス デーモン (vpxd) ストア。vpxd は、このストアに格納されているソリューション ユーザー証明書を使用して、vCenter Single Sign-On への認証を行います。

  • vpxd-extensions:vCenter Server 拡張機能のストア。Auto Deploy サービス、Inventory Service、およびその他のソリューション ユーザーに含まれないその他のサービス。

  • vsphere-webclientvSphere Web Client ストア。パフォーマンス チャート サービスなどの一部の追加サービスも含まれます。

Platform Services Controller ノードには machine 証明書が含まれます。

内部証明書

vCenter Single Sign-On 証明書は、VECS に保存されず、証明書管理ツールで管理しません。原則として変更は必要ありませんが、特別な状況ではこれらの証明書を置き換えることができます。

vCenter Single Sign-On 署名証明書

vCenter Single Sign-On サービスには、vSphere 全体を通じて認証に使用される SAML トークンを発行する ID プロバイダ サービスが含まれます。SAML トークンは、ユーザーの ID を表すほか、グループ メンバーシップ情報を格納します。vCenter Single Sign-On が SAML トークンを発行すると、SAML トークンが信頼できるソースから取得されたことを vCenter Single Sign-On のクライアントが確認できるように、各トークンは署名証明書によって署名されます。

vCenter Single Sign-On は、ソリューション ユーザーにキーホルダ SAML トークンを発行し、ベアラ トークンをその他のユーザーに発行します。このユーザーは、ユーザー名とパスワードを使用してログインします。

この証明書は vSphere Web Client で置き換えることができます。Security Token Service 証明書の更新を参照してください。

VMware ディレクトリ サービス SSL 証明書

vSphere 6.5 以降では、マシン SSL 証明書は VMware ディレクトリ証明書として使用されます。以前のバージョンの vSphere の場合は、対応するドキュメントを参照してください。

vSphere 仮想マシンの暗号化の証明書

vSphere 仮想マシンの暗号化ソリューションは、外部のキー管理サーバ (KMS) と接続します。ソリューションに対する KMS の認証方法によっては、証明書が生成されて VECS に保存される場合があります。『vSphere セキュリティ』ドキュメントを参照してください。