企業ポリシーおよび構成するシステムの要件に応じて、異なるタイプの証明書の置き換えを実行できます。Platform Services Controller での証明書の置き換え作業は、vSphere Certificate Manager ユーティリティを使用して行うか、インストール製品に組み込まれている CLI を使用して手動で実行できます。
VMCA は、各 Platform Services Controller およびに環境に組み込まれています。VMCA は、各ノード、各 vCenter Server ソリューション ユーザー、および各 ESXi ホストに、VMCA が認証局として署名した証明書をプロビジョニングします。vCenter Server ソリューション ユーザーは、vCenter Server サービスのグループです。
デフォルトの証明書は、置き換えることができます。vCenter Server のコンポーネントの場合は、インストール製品に組み込まれているコマンドライン ツール セットを使用できます。いくつかのオプションが用意されています。
VMCA によって署名された証明書との置き換え
VMCA 証明書の有効期限が切れたか、またはその他の理由でその証明書を置き換える場合は、証明書管理 CLI を使用してその処理を実行することができます。デフォルトでは、VMCA ルート証明書が 10 年後に期限切れになり、VMCA が署名するすべての証明書はルート証明書の有効期限が切れると期限切れになります。つまり、有効期間は最長で 10 年です。
- マシンの SSL 証明書を VMCA 証明書で置き換える
- ソリューション ユーザーの証明書を VMCA 証明書で置き換える
証明書の置き換えの詳細については、「新規の VMCA 署名付き証明書による既存の VMCA 署名付き証明書の置き換え」を参照してください。
VMCA を中間 CA にする
- カスタム署名証明書による VMCA ルート証明書の置き換えと、すべての証明書の置き換え
- マシンの SSL 証明書を VMCA 証明書で置き換える(複数ノード デプロイ)
- ソリューション ユーザーの証明書を VMCA 証明書で置き換える(複数ノード デプロイ)
証明書の置き換えの詳細については、「中間認証局としての VMCA の使用」を参照してください。
VMCA を使用しない、カスタム証明書によるプロビジョニング
既存の VMCA 署名付き証明書は、カスタム証明書と置き換えることができます。この方法を使用する場合は、証明書のプロビジョニングと監視については、すべて自己責任となります。
- カスタム証明書によるマシン SSL 証明書の置き換え
- カスタム証明書によるソリューション ユーザー証明書の置き換え
証明書の置き換えの詳細については、「vSphere でのカスタム証明書の使用」を参照してください。
ハイブリッド デプロイ
VMCA によって証明書の一部を供給し、インフラストラクチャのその他の部分ではカスタム証明書を使用することができます。たとえば、ソリューション ユーザーの証明書は vCenter Single Sign-On への認証でのみ使用されるため、VMCA でそれらの証明書をプロビジョニングすることを検討してください。マシンの SSL 証明書をカスタム証明書と置き換え、すべての SSL トラフィックを保護します。
多くの場合、企業ポリシーでは中間 CA が許可されていません。そのような場合は、ハイブリッド デプロイが適切なソリューションとなります。これにより、置き換える証明書の数は最小限に抑えられ、すべてのトラフィックが保護されます。ハイブリッド デプロイでは、内部のトラフィック、つまりソリューション ユーザーのトラフィックでのみデフォルトの VMCA 署名付き証明書が使用されます。
ESXi 証明書の置き換え
ESXi ホストの場合は、vSphere Web Client から証明書のプロビジョニング処理を変更することができます。詳細については、『vSphere セキュリティ』を参照してください。
オプション | 説明 |
---|---|
VMware 認証局モード(デフォルト) | vSphere Web Client からの証明書を更新する場合、VMCA はホストの証明書を発行します。VMCA ルート証明書を変更して証明書チェーンを含めるようにする場合、ホストの証明書には完全な証明書チェーンが含められます。 |
カスタム認証局モード | VMCA による署名がないか、または発行されていない証明書を、手動で更新して証明書を使用することができます。 |
サムプリント モード | 更新中に 5.5 証明書を維持するために使用できます。このモードは、デバッグ状況のときに一時的にのみ使用してください。 |