複数の管理ノードと 1 台以上の Platform Services Controller ノードが含まれるデプロイでの証明書の置き換えは、組み込みデプロイでの置き換えに似ています。どちらの場合でも、vSphere 証明書管理ユーティリティを使用するか、証明書を手動で置き換えることができます。置き換えプロセスに役立つ、いくつかのベスト プラクティスを示します。

ロード バランサが含まれる高可用性環境での証明書の置き換え

vCenter Server システムが 7 台以下の環境では、通常、単一の Platform Services Controller インスタンスと関連する vCenter Single Sign-On サービスを推奨しています。より大規模な環境では、ネットワーク ロード バランサにより保護された、複数の Platform Services Controller インスタンスの使用を検討してください。この設定については、VMware Web サイトのホワイト ペーパー、vCenter Server 6.0 のデプロイ ガイド で説明されています。

複数の管理ノードが含まれる環境でのマシン SSL 証明書の置き換え

複数の管理ノードと単一の Platform Services Controller が含まれる環境では、vSphere Certificate Manager ユーティリティを使用して証明書を置き換えるか、vSphere CLI コマンドを使用して証明書を手動で置き換えることができます。

vSphere Certificate Manager
vSphere Certificate Manager を各マシンで実行します。管理ノードで Platform Services Controller の IP アドレスを指定するように求められます。実行するタスクによっては、証明書情報も求められます。
手動での証明書の置き換え
証明書を手動で置き換える場合、各マシンで証明書置き換えコマンドを実行します。管理ノードで Platform Services Controller--server パラメータを指定する必要があります。詳細については、次のトピックを参照してください。

大規模なデプロイでは、証明書を置き換えたら、最初に Platform Services Controller を再起動し、次に管理ノードをすべて再起動します。

複数の管理ノードが含まれる環境でのソリューション ユーザー証明書の置き換え

複数の管理ノードと単一の Platform Services Controller が含まれる環境では、次の手順に従って証明書を置き換えます。

注: 大規模なデプロイで、ソリューション ユーザー証明書をリストする場合は、 dir-cli list の出力にすべてのノードのソリューション ユーザーが含まれます。 vmafd-cli get-machine-id --server-name localhost を実行して、各ホストのローカル マシン ID を検索します。各ソリューション ユーザーの名前には、マシン ID が含まれています。
vSphere Certificate Manager
vSphere Certificate Manager を各マシンで実行します。管理ノードで Platform Services Controller の IP アドレスを指定するように求められます。実行するタスクによっては、証明書情報も求められます。
手動での証明書の置き換え
  1. 証明書を生成するか、要求します。次の証明書が必要です。
    • Platform Services Controller のマシン ソリューション ユーザーの証明書。
    • 各管理ノードのマシン ソリューション ユーザーの証明書。
    • 各管理ノードの、次のソリューション ユーザーそれぞれの証明書。
      • vpxd solution ユーザー
      • vpxd-extension ソリューション ユーザー
      • vsphere-webclient ソリューション ユーザー
  2. 各ノードの証明書を置き換えます。正確なプロセスは、実行している証明書置き換えのタイプに応じて異なります。vSphere Certificate Manager ユーティリティによる証明書の管理を参照してください。
詳細については、次のトピックを参照してください。

大規模なデプロイでは、証明書を置き換えたら、最初に Platform Services Controller を再起動し、次に管理ノードをすべて再起動します。

外部ソリューションが含まれる環境での証明書の置き換え

一部のソリューション(VMware vCenter Site Recovery Manager や VMware vSphere Replication など)は、常に vCenter Server システムや Platform Services Controller ではない別のマシンにインストールされます。vCenter Server システムまたは Platform Services Controller 上のデフォルトのマシン SSL 証明書を置き換える場合、そのソリューションによって vCenter Server システムへの接続が試みられると、接続エラーが発生します。

この問題は、ls_update_certs スクリプトを実行して解決できます。詳細については、VMware のナレッジ ベースの記事 KB2109074 を参照してください。