vSphere 6.0 以降では、VMware 認証局 (VMCA) が証明書を使用して環境のプロビジョニングを行います。証明書には、安全な接続のための SSL 証明書、vCenter Single Sign-Onへのサービスの認証のためのソリューション ユーザー証明書、および ESXi ホスト用の証明書があります。
証明書 | プロビジョニング済み | コメント |
---|---|---|
ESXi証明書 | VMCA(デフォルト) | ESXiホスト上にローカルに保存されます |
マシン SSL 証明書 | VMCA(デフォルト) | VECS に保存 |
ソリューション ユーザー証明書 | VMCA(デフォルト) | VMware Endpoint Certificate Store (VECS) に保存されます |
vCenter Single Sign-OnSSL 署名証明書 | インストール中にプロビジョニングされます。 | この証明書は、vSphere Web Clientから管理します。
注: 予期しない動作の発生を避けるため、ファイルシステム内でこの証明書を変更しないでください。
|
VMware Directory Service (VMDIR) SSL 証明書 | インストール中にプロビジョニングされます。 | vSphere 6.5 以降では、マシン SSL 証明書は vmdir 証明書として使用されます。 |
ESXi
ESXi証明書は、各ホストの /etc/vmware/ssl ディレクトリでローカルに保存されます。ESXi証明書は、デフォルトでは VMCA によってプロビジョニングされますが、代わりにカスタム証明書を使うこともできます。ESXi証明書は、ホストが最初に vCenter Server に追加されたとき、およびホストが再接続されたときにプロビジョニングされます。
マシン SSL 証明書
各ノードのマシン SSL 証明書は、サーバ側の SSL ソケットの作成に使用されます。SSL クライアントは、この SSL ソケットに接続します。この証明書は、サーバの検証と、HTTPS や LDAPS などのセキュアな通信に使われます。
ノードごとに専用のマシン SSL 証明書があります。ノードには、vCenter Serverインスタンス、Platform Services Controller インスタンス、または組み込みのデプロイ インスタンスが含まれています。ノードで実行中のすべてのサービスが、マシン SSL 証明書を使用して SSL エンドポイントを公開します。
- 各Platform Services Controllerノードのリバース プロキシ サービス。個々の vCenter サービスへの SSL 接続では、常にリバース プロキシに接続します。サービス自体にトラフィックが送られることはありません。
- 管理ノードと組み込みノード上の vCenter サービス (vpxd)。
- インフラストラクチャ ノードと組み込みノード上の VMware Directory Service (vmdir)。
VMware 製品では、標準の X.509 バージョン 3 (X.509v3) 証明書を使用して、セッション情報を暗号化します。セッション情報は、SSL を介してコンポーネント間で送信されます。
ソリューション ユーザー証明書
ソリューション ユーザーでは、1 つ以上のvCenter Serverサービスがカプセル化されています。各ソリューション ユーザーには、vCenter Single Sign-Onへの認証が必要です。ソリューション ユーザーは証明書を使用して、SAML トークンの交換による vCenter Single Sign-Onへの認証を行います。
ソリューション ユーザーは、最初に認証が必要になった時、再起動の後、およびタイムアウト時間の終了後に、vCenter Single Sign-Onに証明書を提供します。タイムアウト(Holder-of-Key (HOK) タイムアウト)は、vSphere Web Clientから設定することができ、デフォルト値は 2,592,000 秒(30 日)です。
たとえば、vpxd ソリューション ユーザーは、vCenter Single Sign-Onに接続するときに、vCenter Single Sign-On に証明書を提供します。vpxd ソリューション ユーザーは、vCenter Single Sign-Onから SAML トークンを受け取り、そのトークンを使用して他のソリューション ユーザーやサービスへの認証を行います。
次のソリューション ユーザー証明書ストアが、各管理ノードと各組み込みデプロイの VECS に含まれています。
machine
:License Server およびログ サービスにより使用されます。注: マシン ソリューション ユーザー証明書は、マシン SSL 証明書とは無関係です。マシン ソリューション ユーザー証明書は、SAML トークン交換に使用されます。マシン SSL 証明書は、マシン向けのセキュア SSL 接続に使用されます。vpxd
:管理ノードおよび組み込みデプロイ上の、vCenter サービス デーモン (vpxd) ストア。vpxd は、このストアに格納されているソリューション ユーザー証明書を使用して、vCenter Single Sign-On への認証を行います。vpxd-extension
:vCenter Server 拡張機能のストア。Auto Deploy サービス、Inventory Service、およびその他のソリューション ユーザーに含まれないその他のサービス。vsphere-webclient
:vSphere Web Client ストア。パフォーマンス チャート サービスなどの一部の追加サービスも含まれます。
各 Platform Services Controller ノードには machine
証明書が含まれます。
内部証明書
- vCenter Single Sign-On署名証明書
- vCenter Single Sign-Onサービスには、vSphere 全体を通じて認証に使用される SAML トークンを発行する ID プロバイダ サービスが含まれます。SAML トークンは、ユーザーの ID を表すもので、グループ メンバーシップ情報が含まれます。 vCenter Single Sign-Onが SAML トークンを発行すると、SAML トークンが信頼できるソースから取得されたことを vCenter Single Sign-On のクライアントが確認できるように、各トークンは署名証明書によって署名されます。
- VMware ディレクトリ サービス SSL 証明書
- vSphere 6.5 以降では、マシン SSL 証明書は VMware ディレクトリ証明書として使用されます。以前のバージョンの vSphere の場合は、対応するドキュメントを参照してください。
- vSphere 仮想マシンの暗号化の証明書
- vSphere 仮想マシンの暗号化ソリューションは、外部のキー管理サーバ (KMS) と接続します。ソリューションに対する KMS の認証方法によっては、証明書が生成されて VMware Endpoint Certificate Store (VECS) に保存される場合があります。『 vSphere のセキュリティ』ドキュメントを参照してください。