マシン SSL 証明書を置き換えたら、VMCA 署名付きソリューション ユーザー証明書をサードパーティ証明書またはエンタープライズ証明書に置き換えることができます。

このタスクについて

多くの VMware のユーザーの多くがソリューション ユーザー証明書を置き換えていません。マシン SSL 証明書だけがカスタム証明書に置き換えられています。このハイブリッド アプローチによって、セキュリティ チームの要求を満たすことができます。

  • 証明書はプロキシの内側に配置されるか、カスタム証明書が使用されます。

  • 中間 CAは使用されません。

ソリューション ユーザーは、vCenter Single Sign-On への認証を行うためだけに、証明書を使用します。証明書が有効な場合、vCenter Single Sign-On はソリューション ユーザーに SAML トークンを割り当てます。ソリューション ユーザーは、他の vCenter コンポーネントへの認証を行うために SAML トークンを使用します。

各管理ノードおよび各 Platform Services Controller ノードにあるマシン ソリューション ユーザー証明書を置き換えます。各管理ノードにある他のソリューション ユーザー証明書のみを置き換えます。外部 --server がある管理ノードでコマンドを実行する場合は、Platform Services Controller パラメータを使用して Platform Services Controller を指定します。

注:

大規模なデプロイで、ソリューション ユーザー証明書をリストする場合は、dir-cli list の出力にすべてのノードのソリューション ユーザーが含まれます。vmafd-cli get-machine-id --server-name localhost を実行して、各ホストのローカル マシン ID を検索します。各ソリューション ユーザーの名前には、マシン ID が含まれています。

前提条件

  • キー サイズ:2,048 ビット以上(PEM エンコード)

  • CRT 形式

  • x509 バージョン 3

  • SubjectAltName には DNS Name=<machine_FQDN> が含まれている必要があります。

  • 各ソリューション ユーザー証明書には異なる Subject が指定されている必要があります。たとえば、ソリューション ユーザー名(例: vpxd)などの一意の識別子を含めることができます。

  • キー使用法として、デジタル署名、非否認、キー暗号化が含まれている必要があります。

手順

  1. すべてのサービスを停止し、証明書の作成、伝達、およびストレージを処理するサービスを開始します。
    service-control --stop --all
    service-control --start vmafdd
    service-control --start vmdird
    service-control --start vmca
    
  2. 各ソリューション ユーザーの名前を検索します。
    dir-cli service list 
    

    証明書を置き換えるときに返される一意の ID を使用できます。入力と出力は次にようになります。

    C:\Program Files\VMware\vCenter Server\vmafdd>dir-cli service list
    Enter password for administrator@vsphere.local:
    1. machine-1d364500-4b45-11e4-96c2-020011c98db3
    2. vpxd-1d364500-4b45-11e4-96c2-020011c98db3
    3. vpxd-extension-1d364500-4b45-11e4-96c2-020011c98db3
    4. vsphere-webclient-1d364500-4b45-11e4-96c2-020011c98db3

    マルチノード デプロイでソリューション ユーザー証明書の一覧を表示すると、dir-cli リストの出力にすべてのノードのすべてのソリューション ユーザーが示されます。vmafd-cli get-machine-id --server-name localhost を実行して、各ホストのローカル マシン ID を検索します。各ソリューション ユーザーの名前には、マシン ID が含まれています。

  3. 各ソリューション ユーザーの既存の証明書を、VECS、vmdir の順に置き換えます。

    その順番で証明書を追加する必要があります。

    vecs-cli entry delete --store vpxd --alias vpxd
    vecs-cli entry create --store vpxd --alias vpxd --cert vpxd.crt --key vpxd.priv
    dir-cli service update --name <vpxd-xxxx-xxx-xxxxxx> --cert vpxd.crt
    
    注:

    vmdir の証明書が置き換えられていないと、ソリューション ユーザーは vCenter Single Sign-On への認証ができません。

  4. すべてのサービスを再開します。
    service-control --start --all