企業ポリシーおよび構成するシステムの要件に応じて、異なるタイプの証明書の置き換えを実行できます。Platform Services Controller での証明書の置き換え作業は、vSphere Certificate Manager ユーティリティを使用して行うか、インストール製品に組み込まれている CLI を使用して手動で実行できます。

VMCA は、各 Platform Services Controller およびに環境に組み込まれています。VMCA は、各ノード、各 vCenter Server ソリューション ユーザー、および各 ESXi ホストに、VMCA が認証局として署名した証明書をプロビジョニングします。vCenter Server ソリューション ユーザーは、vCenter Server サービスのグループです。

デフォルトの証明書は、置き換えることができます。vCenter Server のコンポーネントの場合は、インストール製品に組み込まれているコマンドライン ツール セットを使用できます。いくつかのオプションが用意されています。

VMCA によって署名された証明書との置き換え

VMCA 証明書の有効期限が切れたか、またはその他の理由でその証明書を置き換える場合は、証明書管理 CLI を使用してその処理を実行することができます。デフォルトでは、VMCA ルート証明書が 10 年後に期限切れになり、VMCA が署名するすべての証明書はルート証明書の有効期限が切れると期限切れになります。つまり、有効期間は最長で 10 年です。

図 1. VMCA によって署名された証明書の VECS への保存
デフォルト モードの場合、VMCA は VMCA が署名する証明書をプロビジョニングします。
次の vSphere Certificate Manager のオプションを使用できます。
  • マシンの SSL 証明書を VMCA 証明書で置き換える
  • ソリューション ユーザーの証明書を VMCA 証明書で置き換える

証明書の置き換えの詳細については、「新規の VMCA 署名付き証明書による既存の VMCA 署名付き証明書の置き換え」を参照してください。

VMCA を中間 CA にする

VMCA のルート証明書は、企業 CA やサードパーティ CA によって署名された証明書と置き換えることができます。VMCA は、証明書をプロビジョニングするごとにカスタム ルート証明書に署名し、VMCA を中間 CA にします。
注: 外部の Platform Services Controller を含めてフレッシュ インストールを実行する場合は、最初に Platform Services Controller をインストールして VMCA ルート証明書を置き換えます。次に、他のサービスをインストールし、使用環境に ESXi ホストを追加します。組み込み Platform Services Controller を含めてフレッシュ インストールを実行する場合は、VMCA ルート証明書を置き換えてから、 ESXi ホストを追加します。そうすると、VMCA によってチェーン全体が署名され、新しい証明書を生成する必要がなくなります。
図 2. サードパーティまたは企業 CA によって署名された証明書で中間 CA として VMCA を使用する
VMCA 証明書は、中間証明書として組み込まれています。ルート証明書は、サードパーティ CA によって署名されます。
次の vSphere Certificate Manager のオプションを使用できます。
  • カスタム署名証明書による VMCA ルート証明書の置き換えと、すべての証明書の置き換え
  • マシンの SSL 証明書を VMCA 証明書で置き換える(複数ノード デプロイ)
  • ソリューション ユーザーの証明書を VMCA 証明書で置き換える(複数ノード デプロイ)

証明書の置き換えの詳細については、「中間認証局としての VMCA の使用」を参照してください。

VMCA を使用しない、カスタム証明書によるプロビジョニング

既存の VMCA 署名付き証明書は、カスタム証明書と置き換えることができます。この方法を使用する場合は、証明書のプロビジョニングと監視については、すべて自己責任となります。

図 3. 外部証明書を VECS に直接保存する
外部証明書は、VECS に直接保存します。VMCA は使用しません。
次の vSphere の証明書マネージャのオプションを使用できます。
  • カスタム証明書によるマシン SSL 証明書の置き換え
  • カスタム証明書によるソリューション ユーザー証明書の置き換え

証明書の置き換えの詳細については、「vSphere でのカスタム証明書の使用」を参照してください。

ハイブリッド デプロイ

VMCA によって証明書の一部を供給し、インフラストラクチャのその他の部分ではカスタム証明書を使用することができます。たとえば、ソリューション ユーザーの証明書は vCenter Single Sign-On への認証でのみ使用されるため、VMCA でそれらの証明書をプロビジョニングすることを検討してください。マシンの SSL 証明書をカスタム証明書と置き換え、すべての SSL トラフィックを保護します。

多くの場合、企業ポリシーでは中間 CA が許可されていません。そのような場合は、ハイブリッド デプロイが適切なソリューションとなります。これにより、置き換える証明書の数は最小限に抑えられ、すべてのトラフィックが保護されます。ハイブリッド デプロイでは、内部のトラフィック、つまりソリューション ユーザーのトラフィックでのみデフォルトの VMCA 署名付き証明書が使用されます。

ESXi 証明書の置き換え

ESXi ホストの場合は、vSphere Web Client から証明書のプロビジョニング処理を変更することができます。詳細については、『vSphere セキュリティ』を参照してください。

表 1. ESXi 証明書の置き換えのオプション
オプション 説明
VMware 認証局モード(デフォルト) vSphere Web Client からの証明書を更新する場合、VMCA はホストの証明書を発行します。VMCA ルート証明書を変更して証明書チェーンを含めるようにする場合、ホストの証明書には完全な証明書チェーンが含められます。
カスタム認証局モード VMCA による署名がないか、または発行されていない証明書を、手動で更新して証明書を使用することができます。
サムプリント モード 更新中に 5.5 証明書を維持するために使用できます。このモードは、デバッグ状況のときに一時的にのみ使用してください。