カスタム証明書を取得したら、各マシン証明書を置き換えることができます。
他のサービスとの安全な通信を実現するため、各マシンにマシン SSL 証明書が必要です。マルチノード環境では、各ノードでマシン SSL 証明書生成コマンドを実行する必要があります。外部の Platform Services Controller を使用する vCenter Server の Platform Services Controller を参照するには、--server パラメータを使用します。
証明書の置き換えを開始する前に、次の情報を確認しておく必要があります。
- [email protected] のパスワード。
- 有効なマシン SSL カスタム証明書(.crt ファイル)。
- 有効なマシン SSL カスタム キー(.key ファイル)。
- ルートの有効なカスタム証明書(.crt ファイル)。
- マルチノード 環境内の外部の Platform Services Controller を使用する vCenter Server 上でこのコマンドを実行する場合は、Platform Services Controller の IP アドレス。
前提条件
サードパーティまたはエンタープライズ CA から各マシンの証明書を取得している必要があります。
- キー サイズ:2,048 ビット以上(PEM エンコード)
- CRT 形式
- x509 バージョン 3
- SubjectAltName には DNS Name=<machine_FQDN> が含まれている必要があります。
- キー使用法として、デジタル署名、キー暗号化が含まれている必要があります
手順
例: カスタム証明書によるマシン SSL 証明書の置き換え
この例では、Windows のインストール環境でマシンの SSL 証明書をカスタム証明書と置き換える方法について説明します。各ノードのマシン SSL 証明書も同様に置き換えることができます。
- 最初に、VECS にある既存の証明書を削除します。
"C:\Program Files\VMware\vCenter Server\vmafdd\"vecs-cli entry delete --store MACHINE_SSL_CERT --alias __MACHINE_CERT
- 次に置き換える証明書を追加します。
"C:\Program Files\VMware\vCenter Server\vmafdd\"vecs-cli entry create --store MACHINE_SSL_CERT --alias __MACHINE_CERT --cert E:\custom-certs\ms-ca\signed-ssl\custom-w1-vim-cat-dhcp-094.eng.vmware.com.crt --key E:\custom-certs\ms-ca\signed-ssl\custom-x3-vim-cat-dhcp-1128.vmware.com.priv