certool CLI または vSphere Certificate Manager ユーティリティを使用して新しい VMware 認証局 (VMCA) 署名証明書を生成し、証明書を vmdir に公開します。

このタスクについて

マルチノード デプロイでは、Platform Services Controller でルート証明書の生成コマンドを実行します。

手順

  1. 新しい自己署名証明書およびプライベート キーを生成します。
    certool --genselfcacert --outprivkey <key_file_path> --outcert <cert_file_path> --config <config_file>
  2. 既存のルート証明書を新しい証明書に置き換えます。
    certool --rootca --cert <cert_file_path> --privkey <key_file_path>

    このコマンドは、証明書を生成し、その証明書を vmdir に追加して、VECS に追加します。

  3. すべてのサービスを停止し、証明書の作成、伝達、およびストレージを処理するサービスを開始します。

    サービス名は、Windows 上と vCenter Server Appliance 上で異なります。

    Windows

    service-control --stop --all
    service-control --start VMWareAfdService
    service-control --start VMWareDirectoryService
    service-control --start VMWareCertificateService
    

    vCenter Server Appliance

    service-control --stop --all
    service-control --start vmafdd
    service-control --start vmdird
    service-control --start vmcad
    
  4. (オプション) : 新しいルート証明書を vmdir に発行します。
    dir-cli trustedcert publish --cert newRoot.crt
    

    コマンドは、vmdir のインスタンスを即座に更新します。コマンドを実行しない場合、すべてのノードへ新しい証明書を伝達するのに時間がかかる場合があります。

  5. すべてのサービスを再開します。
    service-control --start --all
    

新規の VMCA 署名付きルート証明書の生成

次の例は、現在のルート CA 情報を確認し、ルート証明書を再生成するための手順を示します。

  1. (オプション)VMCA ルート証明書を一覧表示し、証明書ストア内に含まれていることを確認します。

    • Platform Services Controller ノードまたは組み込みインストールで、次のように実行します。

      C:\>"C:\Program Files\VMware\vCenter Server\vmcad\"certool --getrootca
    • 管理ノードで、次のように実行します(外部インストール)。

      C:\>"C:\Program Files\VMware\vCenter Server\vmcad\"certool --getrootca --server=<psc-ip-or-fqdn>

    出力は次のようになります。

    output:
    Certificate:
        Data:
            Version: 3 (0x2)
            Serial Number:
                cf:2d:ff:49:88:50:e5:af
        ...
    

  2. (オプション)VECS TRUSTED_ROOTS ストアの内容を一覧表示し、そこに表示される証明書のシリアル番号と、手順 1 の出力を比較します。

    VECS が vmdir をポーリングするため、このコマンドは Platform Services Controller ノードと管理ノードの両方で機能します。

    "C:\Program Files\VMware\vCenter Server\vmafdd\"vecs-cli entry list --store TRUSTED_ROOTS  --text
    

    ルート証明書が 1 つだけの単純なケースでは、出力は次のようになります。

    Number of entries in store :    1
    Alias : 960d43f31eb95211ba3a2487ac840645a02894bd
    Entry type :    Trusted Cert
    Certificate:
        Data:
            Version: 3 (0x2)
            Serial Number:
                cf:2d:ff:49:88:50:e5:af

  3. 新しい VMCA ルート証明書を生成します。コマンドは、証明書を VECS と vmdir (VMware Directory Service) の TRUSTED_ROOTS ストアに追加します。

    C:\>"C:\Program Files\VMware\vCenter Server\vmcad\"certool --selfca --config="C:\Program Files\VMware\vCenter Server\vmcad\certool.cfg"

    Windows では、コマンドがデフォルトの certool.cfg ファイルを使用するため、--config はオプションです。