vSphere 6.0 以降では、VMware 認証局 (VMCA) が、VMCA をデフォルトでルート認証局とする署名付き証明書を使用して、新規の各 ESXi ホストをプロビジョニングします。プロビジョニングは、ホストが vCenter Server に明示的に追加される場合に、または ESXi 6.0 以降のインストールまたは 6.0 以降へのアップグレードの一環として実行されます。

ESXi の証明書は、vSphere Web Client から、または vSphere Web Services SDK の vim.CertificateManager API を使用して、表示および管理することができます。vCenter Server の証明書の管理に使用可能な証明書管理 CLI を使用して ESXi の証明書を表示または管理することはできません。

vSphere 5.5 および vSphere 6.x での証明書

ESXi および vCenter Server の通信では、ほぼすべての管理トラフィックで TLS/SSL を使用します。

vSphere 5.5 以前の場合、TLS/SSL エンドポイントは、ユーザー名、パスワード、およびサムプリントの組み合わせによってのみ保護されています。ユーザーは、ユーザー独自の証明書を対応する自己署名証明書に置き換えることができます。vSphere 5.5 ドキュメント センターを参照してください。

vSphere 6.0 以降の場合、 vCenter Server は、 ESXi ホストで次の証明書モードをサポートします。
表 1. ESXi ホストの証明書モード
証明書モード 説明
VMware 認証局(デフォルト) このモードは、VMCA が、トップレベル CA または中間 CA のいずれかとしてすべての ESXi ホストをプロビジョニングする場合に使用します。

デフォルトで VMCA は、証明書を使用して ESXi ホストをプロビジョニングします。

このモードでは、vSphere Web Client から証明書を更新することができます。

カスタム認証局 このモードは、サードパーティ CA またはエンタープライズ CA によって署名されたカスタム証明書のみを使用する場合に使用します。
このモードでは、ユーザーが証明書を管理する必要があります。 vSphere Web Client から証明書を更新することはできません。
注: 証明書モードをカスタム認証局に変更しない限り、VMCA により、たとえば vSphere Web Client[更新] を選択するときに、カスタム証明書が置き換えられる可能性があります。
サムプリント モード vSphere 5.5 ではサムプリント モードが使用されており、このモードは、vSphere 6.x のフォールバック オプションとして引き続き使用することができます。このモードの場合、vCenter Server は、証明書の形式が正しいかどうかチェックしますが、証明書の有効性はチェックしません。期限切れの証明書であっても受諾されます。

このモードは、他の 2 つのモードのいずれかによって解決できない問題が発生した場合以外は使用しないでください。vCenter 6.x 以降の一部のサービスは、サムプリント モードで正常に動作しない可能性があります。

証明書有効期限

vSphere 6.0 以降、VMCA またはサードパーティ CA によって署名された証明書の証明書有効期限に関する情報を vSphere Web Client で表示することができます。vCenter Server によって管理されるすべてのホスト、または個別のホストに関する情報を表示できます。証明書が [間もなく期限切れ] 状態(8 か月未満)になっている場合は、黄色のアラームが表示されます。証明書が [期限切れ間近] 状態(2 か月未満)になっている場合は、赤のアラームが表示されます。

ESXi のプロビジョニングと VMCA

インストール メディアから ESXi ホストを起動する場合、そのホストには初めに生成された証明書があります。ホストを vCenter Server システムに追加すると、そのホストは、ルート CA としての VMCA によって署名された証明書を使用してプロビジョニングされます。

このプロセスは、Auto Deploy でプロビジョニングされるホストの場合と同様です。ただし、それらのホストは状態を何も保存しないため、署名付き証明書は Auto Deploy サーバによってそのローカル証明書ストアに保存されます。その証明書は、ESXi ホストのその後の起動時に再使用されます。Auto Deploy サーバは、任意の組み込みデプロイまたは vCenter Server システムの一部です。

Auto Deploy ホストは、初めて起動するときに VMCA が使用可能になっていない場合、最初に接続を試みます。接続できない場合、VMCA が使用可能になって、署名付き証明書を使用してホストをプロビジョニングできるようになるまで、シャットダウンと再起動の動作を繰り返します。

ESXi の証明書管理に必要な権限

ESXi ホストの証明書の管理には、証明書.証明書を管理 権限が必要です。権限は vSphere Web Client から設定できます。

ホスト名と IP アドレスの変更

vSphere 6.0 以降では、ホスト名または IP アドレスを変更すると、vCenter Server でホストの証明書が有効とみなされるかどうかに影響する場合があります。ホストを vCenter Server に追加したときの方法により、手動での介入が必要かどうかが決まります。手動での介入とは、ホストを再接続すること、つまり vCenter Server からホストを削除して再び追加することを意味します。

表 2. ホスト名または IP アドレスの変更により手動での介入が必要になる場合
ホストを vCenter Server に追加する方法 ホスト名の変更 IP アドレスの変更
ホスト名 vCenter Server の接続問題。手動での介入が必要。 介入不要。
IP アドレス 介入不要。 vCenter Server の接続問題。手動での介入が必要。