エンタープライズまたはサードパーティ認証局 (CA) からのカスタム証明書を使用できます。最初の手順は、CA に証明書を要求し、ルート証明書を VECS にインポートすることです。

前提条件

証明書は次の要件を満たす必要があります。

  • キー サイズ:2,048 ビット以上(PEM エンコード)
  • PEM 形式。VMware では、PKCS8 および PKCS1(RSA キー)がサポートされます。VECS に追加されたキーは、PKCS8 に変換されます。
  • x509 バージョン 3
  • ルート証明書の場合、認証局の拡張を true に設定する必要があり、証明書の署名を要件の一覧に含める必要があります。
  • SubjectAltName には DNS Name=<machine_FQDN> が含まれている必要があります。
  • CRT 形式
  • キー使用法として、デジタル署名、キー暗号化が含まれている必要があります
  • 1 日前の開始時刻。
  • vCenter Server インベントリにある、ESXi ホストのホスト名(または IP アドレス)に設定された CN (および SubjectAltName)

手順

  1. 以下の証明書の CSR をエンタープライズまたはサードパーティ証明書プロバイダに送信します。
    • 各マシンのマシン SSL 証明書。マシン SSL 証明書の場合、SubjectAltName フィールドには、完全修飾ドメイン名 (DNS NAME=machine_FQDN) が含まれている必要があります。
    • (オプション)組み込みシステムまたは管理ノードごとに 4 つのソリューション ユーザー証明書。ソリューション ユーザー証明書には IP アドレス、ホスト名、メール アドレスを含めることはできません。証明書の Subject は、各証明書で異なっている必要があります。
    • (オプション)外部 Platform Services Controller インスタンスのマシン ソリューション ユーザーの証明書。この証明書は、Platform Services Controller のマシン SSL 証明書とは異なります。

    通常、その結果は信頼されたチェーンの PEM ファイルで、Platform Services Controller または管理ノードごとの署名付き SSL 証明書も追加されます。

  2. TRUSTED_ROOTS およびマシン SSL ストアをリストします。
    vecs-cli store list 
    
    1. 現在のルート証明書とすべてのマシン SSL 証明書が VMCA によって署名されていることを確認します。
    2. シリアル番号、発行者、Subject の CN フィールドを書き留めておきます。
    3. (オプション) Web ブラウザを使用して、証明書を置き換えるノードへの HTTPS 接続を開き、証明書情報を参照して、マシン SSL 証明書と一致していることを確認します。
  3. すべてのサービスを停止し、証明書の作成、伝達、およびストレージを処理するサービスを開始します。
    サービス名は、Windows 上と vCenter Server Appliance 上で異なります。
    注: 外部 Platform Services Controller を使用している環境では、 vCenter Server ノード上で VMware Directory Service (vmdird) および VMware Certificate Authority (vmcad) を停止および開始する必要はありません。これらのサービスは、 Platform Services Controller で実行されます。
    Windows
    service-control --stop --all
    service-control --start VMWareAfdService
    service-control --start VMWareDirectoryService
    service-control --start VMWareCertificateService
    
    vCenter Server Appliance
    service-control --stop --all
    service-control --start vmafdd
    service-control --start vmdird
    service-control --start vmcad
    
  4. カスタム ルート証明書を公開します。
    dir-cli trustedcert publish --cert <my_custom_root>
    コマンド ラインでユーザー名とパスワードを指定しないと、指定するように求められます。
  5. すべてのサービスを再開します。
    service-control --start --all
    

次のタスク

元の VMCA ルート証明書は証明書ストアから削除できます(会社のポリシーで求められている場合)。その場合、vCenter Single Sign-On 証明書を更新する必要があります。Security Token Service 証明書の更新を参照してください。