certool CLI または vSphere Certificate Manager ユーティリティを使用して新しい VMware 認証局 (VMCA) 署名証明書を生成し、証明書を vmdir に公開します。
マルチノード デプロイでは、Platform Services Controller でルート証明書の生成コマンドを実行します。
手順
例: 新規の VMCA 署名付きルート証明書の生成
次の例は、現在のルート CA 情報を確認し、ルート証明書を再生成するための手順を示します。
- (オプション)VMCA ルート証明書を一覧表示し、証明書ストア内に含まれていることを確認します。
- Platform Services Controller ノードまたは組み込みインストールで、次のように実行します。
C:\>"C:\Program Files\VMware\vCenter Server\vmcad\"certool --getrootca
- 管理ノードで、次のように実行します(外部インストール)。
C:\>"C:\Program Files\VMware\vCenter Server\vmcad\"certool --getrootca --server=<psc-ip-or-fqdn>
出力は次のようになります。output: Certificate: Data: Version: 3 (0x2) Serial Number: cf:2d:ff:49:88:50:e5:af ...
- Platform Services Controller ノードまたは組み込みインストールで、次のように実行します。
- (オプション)VECS TRUSTED_ROOTS ストアの内容を一覧表示し、そこに表示される証明書のシリアル番号と、手順 1 の出力を比較します。
VECS が vmdir をポーリングするため、このコマンドは Platform Services Controller ノードと管理ノードの両方で機能します。
"C:\Program Files\VMware\vCenter Server\vmafdd\"vecs-cli entry list --store TRUSTED_ROOTS --text
ルート証明書が 1 つだけの単純なケースでは、出力は次のようになります。Number of entries in store : 1 Alias : 960d43f31eb95211ba3a2487ac840645a02894bd Entry type : Trusted Cert Certificate: Data: Version: 3 (0x2) Serial Number: cf:2d:ff:49:88:50:e5:af
- 新しい VMCA ルート証明書を生成します。コマンドは、証明書を VECS と vmdir (VMware Directory Service) の TRUSTED_ROOTS ストアに追加します。
C:\>"C:\Program Files\VMware\vCenter Server\vmcad\"certool --selfca --config="C:\Program Files\VMware\vCenter Server\vmcad\certool.cfg"
Windows では、コマンドがデフォルトの certool.cfg ファイルを使用するため、--config はオプションです。