マシン SSL 証明書を置き換えたら、VMCA 署名付きソリューション ユーザー証明書をサードパーティ証明書またはエンタープライズ証明書に置き換えることができます。
多くの VMware のユーザーの多くがソリューション ユーザー証明書を置き換えていません。マシン SSL 証明書だけがカスタム証明書に置き換えられています。このハイブリッド アプローチによって、セキュリティ チームの要求を満たすことができます。
- 証明書はプロキシの内側に配置されるか、カスタム証明書が使用されます。
- 中間 CAは使用されません。
ソリューション ユーザーは、vCenter Single Sign-On への認証を行うためだけに、証明書を使用します。証明書が有効な場合、vCenter Single Sign-On はソリューション ユーザーに SAML トークンを割り当てます。ソリューション ユーザーは、他の vCenter コンポーネントへの認証を行うために SAML トークンを使用します。
各管理ノードおよび各 Platform Services Controller ノードにあるマシン ソリューション ユーザー証明書を置き換えます。各管理ノードにある他のソリューション ユーザー証明書のみを置き換えます。外部 --server がある管理ノードでコマンドを実行する場合は、Platform Services Controller パラメータを使用して Platform Services Controller を指定します。
注: 大規模なデプロイで、ソリューション ユーザー証明書をリストする場合は、
dir-cli list の出力にすべてのノードのソリューション ユーザーが含まれます。
vmafd-cli get-machine-id --server-name localhost を実行して、各ホストのローカル マシン ID を検索します。各ソリューション ユーザーの名前には、マシン ID が含まれています。
前提条件
- キー サイズ:2,048 ビット以上(PEM エンコード)
- CRT 形式
- x509 バージョン 3
- SubjectAltName には DNS Name=<machine_FQDN> が含まれている必要があります。
-
各ソリューション ユーザー証明書には異なる Subject が指定されている必要があります。たとえば、ソリューション ユーザー名(例: vpxd)などの一意の識別子を含めることができます。
- キー使用法として、デジタル署名、キー暗号化が含まれている必要があります