カスタム証明書を取得したら、各マシン証明書を置き換えることができます。

他のサービスとの安全な通信を実現するため、各マシンにマシン SSL 証明書が必要です。マルチノード環境では、各ノードでマシン SSL 証明書生成コマンドを実行する必要があります。外部の Platform Services Controller を使用する vCenter ServerPlatform Services Controller を参照するには、--server パラメータを使用します。

証明書の置き換えを開始する前に、次の情報を確認しておく必要があります。
  • [email protected] のパスワード。
  • 有効なマシン SSL カスタム証明書(.crt ファイル)。
  • 有効なマシン SSL カスタム キー(.key ファイル)。
  • ルートの有効なカスタム証明書(.crt ファイル)。
  • マルチノード 環境内の外部の Platform Services Controller を使用する vCenter Server 上でこのコマンドを実行する場合は、Platform Services Controller の IP アドレス。

前提条件

サードパーティまたはエンタープライズ CA から各マシンの証明書を取得している必要があります。

  • キー サイズ:2,048 ビット以上(PEM エンコード)
  • CRT 形式
  • x509 バージョン 3
  • SubjectAltName には DNS Name=<machine_FQDN> が含まれている必要があります。
  • キー使用法として、デジタル署名、キー暗号化が含まれている必要があります

手順

  1. すべてのサービスを停止し、証明書の作成、伝達、およびストレージを処理するサービスを開始します。
    サービス名は、Windows 上と vCenter Server Appliance 上で異なります。
    注: 外部 Platform Services Controller を使用している環境では、 vCenter Server ノード上で VMware Directory Service (vmdird) および VMware Certificate Authority (vmcad) を停止および開始する必要はありません。これらのサービスは、 Platform Services Controller で実行されます。
    Windows
    service-control --stop --all
    service-control --start VMWareAfdService
    service-control --start VMWareDirectoryService
    service-control --start VMWareCertificateService
    
    vCenter Server Appliance
    service-control --stop --all
    service-control --start vmafdd
    service-control --start vmdird
    service-control --start vmcad
    
  2. 各ノードにログインし、取得した新しいマシン証明書を CA から VECS に追加します。
    SSL を介して通信する場合、すべてのマシンのローカル証明書ストアに、新しい証明書が必要となります。
    vecs-cli entry delete --store MACHINE_SSL_CERT --alias __MACHINE_CERT
    vecs-cli entry create --store MACHINE_SSL_CERT --alias __MACHINE_CERT --cert <cert-file-path>
    --key <key-file-path>
  3. すべてのサービスを再開します。
    service-control --start --all
    

例: カスタム証明書によるマシン SSL 証明書の置き換え

この例では、Windows のインストール環境でマシンの SSL 証明書をカスタム証明書と置き換える方法について説明します。各ノードのマシン SSL 証明書も同様に置き換えることができます。
  1. 最初に、VECS にある既存の証明書を削除します。
    "C:\Program Files\VMware\vCenter Server\vmafdd\"vecs-cli entry delete --store MACHINE_SSL_CERT --alias __MACHINE_CERT
  2. 次に置き換える証明書を追加します。
    "C:\Program Files\VMware\vCenter Server\vmafdd\"vecs-cli entry create --store MACHINE_SSL_CERT --alias __MACHINE_CERT --cert E:\custom-certs\ms-ca\signed-ssl\custom-w1-vim-cat-dhcp-094.eng.vmware.com.crt --key E:\custom-certs\ms-ca\signed-ssl\custom-x3-vim-cat-dhcp-1128.vmware.com.priv