certool CLI または vSphere Certificate Manager ユーティリティを使用して新しい VMware 認証局 (VMCA) 署名証明書を生成し、証明書を vmdir に公開します。

マルチノード デプロイでは、Platform Services Controller でルート証明書の生成コマンドを実行します。

手順

  1. 新しい自己署名証明書およびプライベート キーを生成します。
    certool --genselfcacert --outprivkey <key_file_path> --outcert <cert_file_path> --config <config_file>
  2. 既存のルート証明書を新しい証明書に置き換えます。
    certool --rootca --cert <cert_file_path> --privkey <key_file_path>
    このコマンドは、証明書を生成し、その証明書を vmdir に追加して、VECS に追加します。
  3. すべてのサービスを停止し、証明書の作成、伝達、およびストレージを処理するサービスを開始します。
    サービス名は、Windows 上と vCenter Server Appliance 上で異なります。
    注: 外部 Platform Services Controller を使用している環境では、 vCenter Server ノード上で VMware Directory Service (vmdird) および VMware Certificate Authority (vmcad) を停止および開始する必要はありません。これらのサービスは、 Platform Services Controller で実行されます。
    Windows
    service-control --stop --all
    service-control --start VMWareAfdService
    service-control --start VMWareDirectoryService
    service-control --start VMWareCertificateService
    
    vCenter Server Appliance
    service-control --stop --all
    service-control --start vmafdd
    service-control --start vmdird
    service-control --start vmcad
    
  4. (オプション) 新しいルート証明書を vmdir に発行します。
    dir-cli trustedcert publish --cert newRoot.crt
    
    コマンドは、vmdir のインスタンスを即座に更新します。コマンドを実行しない場合、すべてのノードへ新しい証明書を伝達するのに時間がかかる場合があります。
  5. すべてのサービスを再開します。
    service-control --start --all
    

例: 新規の VMCA 署名付きルート証明書の生成

次の例は、現在のルート CA 情報を確認し、ルート証明書を再生成するための手順を示します。
  1. (オプション)VMCA ルート証明書を一覧表示し、証明書ストア内に含まれていることを確認します。
    • Platform Services Controller ノードまたは組み込みインストールで、次のように実行します。
      C:\>"C:\Program Files\VMware\vCenter Server\vmcad\"certool --getrootca
    • 管理ノードで、次のように実行します(外部インストール)。
      C:\>"C:\Program Files\VMware\vCenter Server\vmcad\"certool --getrootca --server=<psc-ip-or-fqdn>
    出力は次のようになります。
    output:
    Certificate:
        Data:
            Version: 3 (0x2)
            Serial Number:
                cf:2d:ff:49:88:50:e5:af
        ...
    
  2. (オプション)VECS TRUSTED_ROOTS ストアの内容を一覧表示し、そこに表示される証明書のシリアル番号と、手順 1 の出力を比較します。

    VECS が vmdir をポーリングするため、このコマンドは Platform Services Controller ノードと管理ノードの両方で機能します。

    "C:\Program Files\VMware\vCenter Server\vmafdd\"vecs-cli entry list --store TRUSTED_ROOTS  --text
    
    ルート証明書が 1 つだけの単純なケースでは、出力は次のようになります。
    Number of entries in store :    1
    Alias : 960d43f31eb95211ba3a2487ac840645a02894bd
    Entry type :    Trusted Cert
    Certificate:
        Data:
            Version: 3 (0x2)
            Serial Number:
                cf:2d:ff:49:88:50:e5:af
  3. 新しい VMCA ルート証明書を生成します。コマンドは、証明書を VECS と vmdir (VMware Directory Service) の TRUSTED_ROOTS ストアに追加します。
    C:\>"C:\Program Files\VMware\vCenter Server\vmcad\"certool --selfca --config="C:\Program Files\VMware\vCenter Server\vmcad\certool.cfg"

    Windows では、コマンドがデフォルトの certool.cfg ファイルを使用するため、--config はオプションです。