vSphere 6.0 以降では、VMware 認証局 (VMCA) が証明書を使用して環境のプロビジョニングを行います。証明書には、安全な接続のための SSL 証明書、vCenter Single Sign-Onへのサービスの認証のためのソリューション ユーザー証明書、および ESXi ホスト用の証明書があります。

次の証明書が使用されます。
表 1. vSphere 6.0 以降の証明書
証明書 プロビジョニング済み コメント
ESXi証明書 VMCA(デフォルト) ESXiホスト上にローカルに保存されます
マシン SSL 証明書 VMCA(デフォルト) VECS に保存
ソリューション ユーザー証明書 VMCA(デフォルト) VMware Endpoint Certificate Store (VECS) に保存されます
vCenter Single Sign-OnSSL 署名証明書 インストール中にプロビジョニングされます。 この証明書は、vSphere Web Clientから管理します。
注: 予期しない動作の発生を避けるため、ファイルシステム内でこの証明書を変更しないでください。
VMware Directory Service (VMDIR) SSL 証明書 インストール中にプロビジョニングされます。 vSphere 6.5 以降では、マシン SSL 証明書は vmdir 証明書として使用されます。

ESXi

ESXi証明書は、各ホストの /etc/vmware/ssl ディレクトリでローカルに保存されます。ESXi証明書は、デフォルトでは VMCA によってプロビジョニングされますが、代わりにカスタム証明書を使うこともできます。ESXi証明書は、ホストが最初に vCenter Server に追加されたとき、およびホストが再接続されたときにプロビジョニングされます。

マシン SSL 証明書

各ノードのマシン SSL 証明書は、サーバ側の SSL ソケットの作成に使用されます。SSL クライアントは、この SSL ソケットに接続します。この証明書は、サーバの検証と、HTTPS や LDAPS などのセキュアな通信に使われます。

ノードごとに専用のマシン SSL 証明書があります。ノードには、vCenter Serverインスタンス、Platform Services Controller インスタンス、または組み込みのデプロイ インスタンスが含まれています。ノードで実行中のすべてのサービスが、マシン SSL 証明書を使用して SSL エンドポイントを公開します。

マシン SSL 証明書を使用するサービスは次のとおりです。
  • Platform Services Controllerノードのリバース プロキシ サービス。個々の vCenter サービスへの SSL 接続では、常にリバース プロキシに接続します。サービス自体にトラフィックが送られることはありません。
  • 管理ノードと組み込みノード上の vCenter サービス (vpxd)。
  • インフラストラクチャ ノードと組み込みノード上の VMware Directory Service (vmdir)。

VMware 製品では、標準の X.509 バージョン 3 (X.509v3) 証明書を使用して、セッション情報を暗号化します。セッション情報は、SSL を介してコンポーネント間で送信されます。

ソリューション ユーザー証明書

ソリューション ユーザーでは、1 つ以上のvCenter Serverサービスがカプセル化されています。各ソリューション ユーザーには、vCenter Single Sign-Onへの認証が必要です。ソリューション ユーザーは証明書を使用して、SAML トークンの交換による vCenter Single Sign-Onへの認証を行います。

ソリューション ユーザーは、最初に認証が必要になった時、再起動の後、およびタイムアウト時間の終了後に、vCenter Single Sign-Onに証明書を提供します。タイムアウト(Holder-of-Key (HOK) タイムアウト)は、vSphere Web Clientから設定することができ、デフォルト値は 2,592,000 秒(30 日)です。

たとえば、vpxd ソリューション ユーザーは、vCenter Single Sign-Onに接続するときに、vCenter Single Sign-On に証明書を提供します。vpxd ソリューション ユーザーは、vCenter Single Sign-Onから SAML トークンを受け取り、そのトークンを使用して他のソリューション ユーザーやサービスへの認証を行います。

次のソリューション ユーザー証明書ストアが、各管理ノードと各組み込みデプロイの VECS に含まれています。

  • machine:License Server およびログ サービスにより使用されます。
    注: マシン ソリューション ユーザー証明書は、マシン SSL 証明書とは無関係です。マシン ソリューション ユーザー証明書は、SAML トークン交換に使用されます。マシン SSL 証明書は、マシン向けのセキュア SSL 接続に使用されます。
  • vpxd:管理ノードおよび組み込みデプロイ上の、vCenter サービス デーモン (vpxd) ストア。vpxd は、このストアに格納されているソリューション ユーザー証明書を使用して、vCenter Single Sign-On への認証を行います。
  • vpxd-extension:vCenter Server 拡張機能のストア。Auto Deploy サービス、Inventory Service、およびその他のソリューション ユーザーに含まれないその他のサービス。
  • vsphere-webclientvSphere Web Client ストア。パフォーマンス チャート サービスなどの一部の追加サービスも含まれます。

Platform Services Controller ノードには machine 証明書が含まれます。

内部証明書

vCenter Single Sign-On証明書は、VMware Endpoint Certificate Store (VECS) に保存されず、証明書管理ツールで管理しません。原則として変更は必要ありませんが、特別な状況ではこれらの証明書を置き換えることができます。
vCenter Single Sign-On署名証明書
vCenter Single Sign-Onサービスには、vSphere 全体を通じて認証に使用される SAML トークンを発行する ID プロバイダ サービスが含まれます。SAML トークンは、ユーザーの ID を表すもので、グループ メンバーシップ情報が含まれます。 vCenter Single Sign-Onが SAML トークンを発行すると、SAML トークンが信頼できるソースから取得されたことを vCenter Single Sign-On のクライアントが確認できるように、各トークンは署名証明書によって署名されます。
vCenter Single Sign-Onは、ソリューション ユーザーに Holder-of-Key (HOK) SAML トークンを発行し、ベアラー トークンをその他のユーザーに発行します。このユーザーは、ユーザー名とパスワードを使用してログインします。
この証明書は vSphere Web Clientで置き換えることができます。 Security Token Service 証明書の更新を参照してください。
VMware ディレクトリ サービス SSL 証明書
vSphere 6.5 以降では、マシン SSL 証明書は VMware ディレクトリ証明書として使用されます。以前のバージョンの vSphere の場合は、対応するドキュメントを参照してください。
vSphere 仮想マシンの暗号化の証明書
vSphere 仮想マシンの暗号化ソリューションは、外部のキー管理サーバ (KMS) と接続します。ソリューションに対する KMS の認証方法によっては、証明書が生成されて VMware Endpoint Certificate Store (VECS) に保存される場合があります。『 vSphere のセキュリティ』ドキュメントを参照してください。