デフォルトでは、Auto Deploy サーバは VMCA が署名した証明書を使用して各ホストをプロビジョニングします。VMCA が署名していないカスタム証明書を使用してすべてのホストをプロビジョニングするように、Auto Deploy サーバを設定できます。このシナリオでは、Auto Deploy サーバはサードパーティ認証局の従属認証局になります。
前提条件
- 認証局に証明書を要求します。証明書は以下の要件を満たす必要があります。
- キー サイズ:2,048 ビット以上(PEM エンコード)
- PEM 形式。VMware では、PKCS8 および PKCS1(RSA キー)がサポートされます。VECS に追加されたキーは、PKCS8 に変換されます。
- x509 バージョン 3
- ルート証明書の場合、認証局の拡張を true に設定する必要があり、証明書の署名を要件の一覧に含める必要があります。
- SubjectAltName には DNS Name=<machine_FQDN> が含まれている必要があります。
- CRT 形式
- キー使用法として、デジタル署名、否認防止、キー暗号化が含まれている必要があります。
- 現在時刻の 1 日前の開始時刻
- vCenter Server インベントリにある、ESXi ホストのホスト名(または IP アドレス)に設定された CN (および SubjectAltName)
- 証明書とキーのファイル(rbd-ca.crt と rbd-ca.key)に名前を付けます。
手順
- デフォルトの ESXi 証明書をバックアップします。
証明書は
/etc/vmware-rbd/ssl/ ディレクトリ内にあります。
- vSphere Web Client から Auto Deploy サービスを停止します。
- [管理] を選択し、[デプロイ] で [システム構成] をクリックします。
- [サービス] をクリックします。
- 停止するサービスを右クリックして、[停止] を選択します。
- Auto Deploy サービスが動作しているシステムで、/etc/vmware-rbd/ssl/ 内の rbd-ca.crt と rbd-ca.key を、カスタム証明書とキーのファイルに置換します。
- Auto Deploy サービスを稼動しているシステムで次のコマンドを実行し、新しい証明書を使用するように VECS 内の TRUSTED_ROOTS ストアを更新します。
| オプション |
説明 |
| Windows |
cd C:\Program Files\VMware\vCenter Server\vmafdd\vecs-cli.exe
vecs-cli entry delete --store TRUSTED_ROOTS --alias rbd_cert
vecs-cli entry create --store TRUSTED_ROOTS --alias rbd_cert
--cert /etc/vmware-rbd/ssl/rbd-ca.crt |
| Linux |
cd /usr/lib/vmware-vmafd/bin/vecs-cli
vecs-cli entry delete --store TRUSTED_ROOTS --alias rbd_cert
vecs-cli entry create --store TRUSTED_ROOTS --alias rbd_cert
--cert /etc/vmware-rbd/ssl/rbd-ca.crt |
- TRUSTED_ROOTS ストアの内容を含む castore.pem ファイルを作成して、そのファイルを /etc/vmware-rbd/ssl/ ディレクトリに格納します。
カスタム モードでは、このファイルの保守が必要になります。
- vCenter Server システムの ESXi 証明書モードを custom に変更します。
- vCenter Server サービスを再開し、Auto Deploy サービスを開始します。
結果
次回、Auto Deploy を使用するように設定されているホストをプロビジョニングすると、Auto Deploy サーバによって証明書が生成されます。Auto Deploy サーバでは、先ほど TRUSTED_ROOTS ストアに追加したルート証明書が使用されます。
