vSphere Certificate Manager を使用して証明書署名要求 (CSR) を生成できます。この CSR をエンタープライズまたは外部の認証局 (CA) に送信して署名を要求します。署名付きの証明書は、サポートされているさまざまな証明書置き換えプロセスで使用できます。

このタスクについて

  • CSR は vSphere Certificate Manager を使用して作成できます。

  • CSR を手動で作成する場合は、署名のために送付する証明書は以下の要件を満たしている必要があります。

    • キー サイズ: 2,048 ビット以上

    • PEM 形式。VMware では、PKCS8 および PKCS1(RSA キー)がサポートされます。VECS に追加されたキーは、PKCS8 に変換されます。

    • x509 バージョン 3

    • カスタム証明書を使用している場合、ルート証明書の認証局の拡張を true に設定し、証明書の署名を要件の一覧に含める必要があります。

    • CRL の署名は有効にしてください。

    • 拡張キー使用法には、クライアント認証またはサーバ認証を含めないでください。

    • 証明書チェーンの長さに明示的な制限はありません。VMware 認証局 (VMCA) では、デフォルトで OpenSSL が使用されます。この場合、10 個の証明書となります。

    • ワイルドカードまたは複数の DNS 名を使用した証明書はサポートされていません。

    • VMCA の従属認証局は作成できません。

      Microsoft Certificate Authority の使用例については、VMware のナレッジベースの記事 2112009 の「vSphere 6.0 で SSL 証明書を作成するために Microsoft 認証局テンプレートを作成する」を参照してください。

前提条件

情報を指定するよう求めるプロンプトが vSphere Certificate Manager から表示されます。表示されるプロンプトは、使用環境と、置き換える証明書のタイプによって異なります。

CSR の生成全般では、administrator@vsphere.local ユーザーのパスワード、または接続先の vCenter Single Sign-On ドメインの管理者が求められます。

手順

  1. vSphere Certificate Manager を起動して、オプション 2 を選択します。

    最初はこのオプションを使用して証明書の置き換えではなく CSR の生成を行います。

  2. パスワードを指定します。また、要求された場合は、Platform Services Controller の IP アドレスまたはホスト名を指定します。
  3. オプション 1 を選択して CSR を生成し、プロンプトに応答します。

    プロセスの一部として、ディレクトリを指定する必要があります。署名対象の証明書(*.csr ファイル)と対応するキー ファイル(*.key ファイル)は、Certificate Manager によってディレクトリ内に配置されます。

  4. 署名のために証明書をエンタープライズまたは外部の認証局 (CA) に送信し、ファイルに root_signing_cert.cer という名前を付けます。
  5. テキスト エディタで次のように証明書を結合します。
    -----BEGIN CERTIFICATE-----
    Signed VMCA root certificate
    -----END CERTIFICATE-----
    -----BEGIN CERTIFICATE-----
    CA intermediate certificates
    -----END CERTIFICATE-----
    -----BEGIN CERTIFICATE-----
    Root certificate of enterprise or external CA
    -----END CERTIFICATE-----
  6. ファイルを root_signing_chain.cer という名前で保存します。

次のタスク

既存のルート証明書をチェーン ルート証明書に置き換えます。カスタム署名証明書による VMCA ルート証明書の置き換えと、すべての証明書の置き換えを参照してください。