証明書インフラストラクチャの設定または更新に必要な作業は、環境の要件、実行するのがフレッシュ インストールかアップグレードか、ESXi または vCenter Server を考慮しているかどうかによって異なります。

管理者が VMware 証明書を置き換えない場合

VMCA では、すべての証明書管理を扱うことができます。VMCA をルート認証局として使用する証明書を使って、vCenter Server コンポーネントおよび ESXi ホストを VMCA でプロビジョニングします。以前のバージョンの vSphere から vSphere 6 にアップグレードしている場合、自己署名証明書はすべて VMCA によって署名された証明書に置き換えられます。

VMware 証明書を置き換えない場合、環境では自己署名証明書の代わりに VMCA 署名付き証明書が使用されます。

管理者が VMware 証明書をカスタム証明書に置き換える場合

企業ポリシーでサード パーティ CA またはエンタープライズ CA によって署名された証明書の使用が規定されている場合、またはカスタム証明書の情報が要求される場合、フレッシュ インストールには複数の選択肢があります。

  • サード パーティ CA またはエンタープライズ CA によって署名された VMCA ルート証明書を使用できます。VMCA ルート証明書をその署名証明書に置き換えます。このシナリオでは、VMCA 証明書が中間証明書となります。完全な証明書チェーンを含む証明書を使用して、vCenter Server コンポーネントおよび ESXi ホストを VMCA でプロビジョニングします。

  • 企業ポリシーでチェーン内の中間証明書が許可されない場合は、証明書を明示的に置き換えることができます。Platform Services Controller Web インターフェイスの vSphere Certificate Manager ユーティリティを使用するか、証明書管理 CLI を使用して証明書を手動で置き換えることができます。

カスタム証明書を使用する環境をアップグレードする場合、一部の証明書を保持できます。

  • ESXi ホストは、アップグレード中にカスタム証明書を保持します。vCenter Server アップグレード プロセスで、関連するすべてのルート証明書が、vCenter Server の VECS の TRUSTED_ROOTS ストアに追加されたことを確認してください。

    vSphere 6.0 以降にアップグレードした後で、証明書モードを カスタム に設定できます。証明書モードが VMCA(デフォルト)で、ユーザーが vSphere Web Client から証明書の更新を実行する場合、VMCA 署名付き証明書によってカスタム証明書が置き換えられます。

  • vCenter Server コンポーネントでは、既存の環境によって処理が異なります。

    • シンプルなインストールを組み込みデプロイにアップグレードする場合、vCenter Server はカスタム証明書を維持します。アップグレード後の環境は、以前と同様に動作します。

    • 複数サイトのデプロイのアップグレードの場合、vCenter Single Sign-OnvCenter Server コンポーネントとは別のマシンに配置される場合があります。この場合は、アップグレード プロセスによって複数ノードのデプロイが作成され、Platform Services Controller ノードと 1 つ以上の管理ノードが含まれます。

      このシナリオでは、既存の vCenter Server 証明書および vCenter Single Sign-On 証明書が維持されます。これらの証明書は、マシン SSL 証明書として使用されます。

      さらに、VMCA 署名付き証明書が、VMCA によって各ソリューション ユーザー(vCenter サービスのコレクション)に割り当てられます。ソリューション ユーザーは、vCenter Single Sign-On への認証でのみこの証明書を使用します。通常、ソリューション ユーザー証明書の置き換えが企業ポリシーで規定されていることはありません。

    vSphere 5.5 のインストールで使用可能だった、vSphere 5.5 証明書置き換えツールは使用できなくなりました。アーキテクチャが新しくなった結果、サービスの分布および配置が変わっています。ほとんどの証明書管理タスクで、新しいコマンドライン ユーティリティ (vSphere Certificate Manager) を使用できます。

vSphere 証明書インターフェイス

vCenter Server では、次のツールとインターフェイスを使用して、証明書の表示および置き換えを行えます。

表 1. vCenter Server 証明書を管理するためのインターフェイス

インターフェイス

用途

Platform Services Controller Web インターフェイス

グラフィカル ユーザー インターフェイスを使用して、証明書に関連する一般的なタスクを実行します。

vSphere Certificate Manager ユーティリティ

vCenter Server インストールのコマンド ラインから証明書置き換えに関連する一般的なタスクを実行します。

証明書管理 CLI

すべての証明書管理タスクを dir-clicertool、および vecs-cli を使用して実行します。

vSphere Web Client

証明書を表示します(有効期限情報を含む)。

ESXi では、vSphere Web Client から証明書管理を実行します。VMCA は、証明書をプロビジョニングして、ESXi ホストのローカルに保存します。VMDIR または VECS には ESXi ホスト証明書を保存しません。『vSphere セキュリティ』ドキュメントを参照してください。

サポートされる vCenter 証明書

vCenter ServerPlatform Services Controller、および関連するマシンとサービスでは、次の証明書がサポートされます。

  • VMware 認証局 (VMCA) によって生成され、署名された証明書。

  • カスタム証明書。

    • 独自の内部 PKI から生成されるエンタープライズ証明書。

    • Verisign や GoDaddy などの外部 PKI で生成された、サードパーティ CA 署名付き証明書。

ルート CA が存在しない OpenSSL を使用して作成された、自己署名証明書はサポートされません。