証明書インフラストラクチャの設定や更新に必要な作業は、環境の要件によって異なります。新規インストールとアップグレードのどちらを実行しているのか、ESXi と vCenter Server のどちらを検討しているのか、などを考慮する必要があります。
管理者が VMware 証明書を置き換えない場合
VMCA では、すべての証明書管理を扱うことができます。VMCA をルート認証局として使用する証明書を使って、vCenter Server コンポーネントおよび ESXi ホストを VMCA でプロビジョニングします。以前のバージョンの vSphere から vSphere 6 にアップグレードしている場合、自己署名証明書はすべて VMCA によって署名された証明書に置き換えられます。
VMware 証明書を置き換えない場合、環境では自己署名証明書の代わりに VMCA 署名付き証明書が使用されます。
管理者が VMware 証明書をカスタム証明書に置き換える場合
企業ポリシーでサード パーティ認証局 (CA) またはエンタープライズ CA によって署名された証明書の使用が規定されている場合、またはカスタム証明書の情報が要求される場合、新規インストールには複数の選択肢があります。
- サード パーティ CA またはエンタープライズ CA によって署名された VMCA ルート証明書を使用できます。VMCA ルート証明書をその署名証明書に置き換えます。このシナリオでは、VMCA 証明書が中間証明書となります。完全な証明書チェーンを含む証明書を使用して、vCenter Server コンポーネントおよび ESXi ホストを VMCA でプロビジョニングします。
- 企業ポリシーでチェーン内の中間証明書が許可されない場合は、証明書を明示的に置き換えることができます。vSphere Client、vSphere Certificate Manager ユーティリティを使用するか、証明書管理 CLI を使用して証明書を手動で置き換えることができます。
カスタム証明書を使用する環境をアップグレードする場合、一部の証明書を保持できます。
- ESXiホストは、アップグレード中にカスタム証明書を保持します。vCenter Serverアップグレード プロセスを実行すると、関連するすべてのルート証明書が、vCenter Server の VECS の TRUSTED_ROOTS ストアに追加されることを確認してください。
vSphere 6.0 以降にアップグレードした後で、証明書モードを [カスタム] に設定できます。証明書モードが VMCA(デフォルト)で、ユーザーが vSphere Client から証明書の更新を実行する場合、VMCA 署名付き証明書によってカスタム証明書が置き換えられます。
- vCenter Serverコンポーネントでは、既存の環境によって処理が異なります。
- シンプルなインストールを組み込みデプロイにアップグレードする場合、vCenter Server はカスタム証明書を維持します。アップグレード後の環境は、以前と同様に動作します。
- 複数サイトのデプロイのアップグレードの場合、vCenter Single Sign-On が vCenter Server コンポーネントとは別のマシンに配置される場合があります。この場合は、アップグレード プロセスによって複数ノードのデプロイが作成され、Platform Services Controller ノードと 1 つ以上の管理ノードが含まれます。
このシナリオでは、既存の vCenter Server 証明書および vCenter Single Sign-On 証明書が維持されます。これらの証明書は、マシン SSL 証明書として使用されます。
さらに、VMCA 署名付き証明書が、VMCA によって各ソリューション ユーザー(vCenter サービスのコレクション)に割り当てられます。ソリューション ユーザーは、vCenter Single Sign-On への認証でのみこの証明書を使用します。通常、ソリューション ユーザー証明書の置き換えが企業ポリシーで規定されていることはありません。
vSphere 5.5 のインストールで使用可能だった、vSphere 5.5 証明書置き換えツールは使用できなくなりました。アーキテクチャが新しくなった結果、サービスの分布および配置が変わっています。ほとんどの証明書管理タスクで、新しいコマンドライン ユーティリティ (vSphere Certificate Manager) を使用できます。
vSphere 証明書インターフェイス
インターフェイス | 用途 |
---|---|
vSphere Client | グラフィカル ユーザー インターフェイスを使用して、証明書に関連する一般的なタスクを実行します。 |
vSphere Certificate Manager ユーティリティ | vCenter Serverインストールのコマンド ラインから証明書置き換えに関連する一般的なタスクを実行します。 |
証明書管理 CLI | すべての証明書管理タスクを dir-cli、certool、および vecs-cli を使用して実行します。 |
vSphere Web Client | 証明書を表示します(有効期限情報を含む)。 |
ESXiでは、vSphere Client から証明書管理を実行します。VMCA は、証明書をプロビジョニングして、ESXi ホストのローカルに保存します。VMDIR または VECS には ESXi ホスト証明書を保存しません。『vSphere のセキュリティ』ドキュメントを参照してください。
サポートされる vCenter 証明書
vCenter Server、Platform Services Controller、および関連するマシンとサービスでは、次の証明書がサポートされます。
- VMware 認証局 (VMCA) によって生成され、署名された証明書。
- カスタム証明書。
- 独自の内部 PKI から生成されるエンタープライズ証明書。
- Verisign や GoDaddy などの外部 PKI で生成された、サードパーティ CA 署名付き証明書。
ルート CA が存在しない OpenSSL を使用して作成された、自己署名証明書はサポートされません。