vSphere 6.0 以降では、VMware 認証局 (VMCA) が証明書を使用して環境のプロビジョニングを行います。証明書には、安全な接続のための SSL 証明書、vCenter Single Sign-On へのサービスの認証のためのソリューション ユーザー証明書、および ESXi ホスト用の証明書があります。
| 証明書 | プロビジョニング済み | コメント |
|---|---|---|
| ESXi 証明書 | VMCA(デフォルト) | ESXi ホスト上にローカルに保存されます |
| マシン SSL 証明書 | VMCA(デフォルト) | VECS に保存 |
| ソリューション ユーザー証明書 | VMCA(デフォルト) | VMware Endpoint Certificate Store (VECS) に保存されます |
| vCenter Single Sign-On SSL 署名証明書 | インストール中にプロビジョニングされます。 | この証明書は、vSphere Web Client から管理します。
注意: 予期しない動作の発生を避けるため、ファイルシステム内でこの証明書を変更しないでください。
|
| VMware Directory Service (VMDIR) SSL 証明書 | インストール中にプロビジョニングされます。 | vSphere 6.5 以降では、マシン SSL 証明書は vmdir 証明書として使用されます。 |
ESXi
ESXi 証明書は、各ホストの /etc/vmware/ssl ディレクトリでローカルに保存されます。ESXi 証明書は、デフォルトでは VMCA によってプロビジョニングされますが、代わりにカスタム証明書を使うこともできます。ESXi 証明書は、ホストが最初に vCenter Server に追加されたとき、およびホストが再接続されたときにプロビジョニングされます。
マシン SSL 証明書
各ノードのマシン SSL 証明書は、サーバ側の SSL ソケットの作成に使用されます。SSL クライアントは、この SSL ソケットに接続します。この証明書は、サーバの検証と、HTTPS や LDAPS などのセキュアな通信に使われます。
ノードごとに専用のマシン SSL 証明書があります。ノードには、vCenter Server インスタンス、Platform Services Controller インスタンス、または組み込みのデプロイ インスタンスが含まれています。ノードで実行中のすべてのサービスが、マシン SSL 証明書を使用して SSL エンドポイントを公開します。
- 各 Platform Services Controller ノードのリバース プロキシ サービス。個々の vCenter サービスへの SSL 接続では、常にリバース プロキシに接続します。サービス自体にトラフィックが送られることはありません。
- 管理ノードと組み込みノード上の vCenter サービス (vpxd)。
- インフラストラクチャ ノードと組み込みノード上の VMware Directory Service (vmdir)。
VMware 製品では、標準の X.509 バージョン 3 (X.509v3) 証明書を使用して、セッション情報を暗号化します。セッション情報は、SSL を介してコンポーネント間で送信されます。
ソリューション ユーザー証明書
ソリューション ユーザーでは、1 つ以上の vCenter Server サービスがカプセル化されています。各ソリューション ユーザーには、vCenter Single Sign-On への認証が必要です。ソリューション ユーザーは証明書を使用して、SAML トークンの交換による vCenter Single Sign-On への認証を行います。
ソリューション ユーザーは、最初に認証が必要になった時、再起動の後、およびタイムアウト時間の終了後に、vCenter Single Sign-On に証明書を提供します。タイムアウト(Holder-of-Key タイムアウト)は、vSphere Web Client または Platform Services Controller Web インターフェイスから設定することができます。デフォルト値は 2,592,000 秒(30 日)です。
たとえば、vpxd ソリューション ユーザーは、vCenter Single Sign-On に接続するときに、vCenter Single Sign-On に証明書を提供します。vpxd ソリューション ユーザーは、vCenter Single Sign-On から SAML トークンを受け取り、そのトークンを使用して他のソリューション ユーザーやサービスへの認証を行います。
次のソリューション ユーザー証明書ストアが、各管理ノードと各組み込みデプロイの VECS に含まれています。
machine: Component Manager、License Server、およびログ サービスにより使用されます。注: マシン ソリューション ユーザー証明書は、マシン SSL 証明書とは無関係です。マシン ソリューション ユーザー証明書は、SAML トークン交換に使用されます。マシン SSL 証明書は、マシン向けのセキュア SSL 接続に使用されます。vpxd:管理ノードおよび組み込みデプロイ上の、vCenter サービス デーモン (vpxd) ストア。vpxd は、このストアに格納されているソリューション ユーザー証明書を使用して、vCenter Single Sign-On への認証を行います。vpxd-extension:vCenter Server 拡張機能のストア。Auto Deploy サービス、Inventory Service、およびその他のソリューション ユーザーに含まれないその他のサービス。vsphere-webclient:vSphere Web Client ストア。パフォーマンス チャート サービスなどの一部の追加サービスも含まれます。
各 Platform Services Controllerノードには machine 証明書が含まれます。
内部証明書
- vCenter Single Sign-On 署名証明書
- vCenter Single Sign-On サービスには、vSphere 全体を通じて認証に使用される SAML トークンを発行する ID プロバイダ サービスが含まれます。SAML トークンは、ユーザーの ID を表すもので、グループ メンバーシップ情報が含まれます。 vCenter Single Sign-On が SAML トークンを発行すると、SAML トークンが信頼できるソースから取得されたことを vCenter Single Sign-On のクライアントが確認できるように、各トークンは署名証明書によって署名されます。
- VMware ディレクトリ サービス SSL 証明書
- vSphere 6.5 以降では、マシン SSL 証明書は VMware ディレクトリ証明書として使用されます。以前のバージョンの vSphere の場合は、対応するドキュメントを参照してください。
- vSphere 仮想マシンの暗号化の証明書
- vSphere 仮想マシンの暗号化ソリューションは、外部のキー管理サーバ (KMS) と接続します。ソリューションに対する KMS の認証方法によっては、証明書が生成されて VMware Endpoint Certificate Store (VECS) に保存される場合があります。『 vSphere セキュリティ』ドキュメントを参照してください。
