vSphere では、通信の暗号化、サービスの認証、トークンへの署名に証明書を使用してセキュリティを提供します。
- vCenter Serverホストや ESXi ホストなどの 2 つのノード間の通信を暗号化します。
- vSphere サービスを認証します。
- トークンへの署名などの内部のアクションを実行する。
vSphere の内部認証局 (CA)、VMware 認証局 (VMCA) は、vCenter Server および ESXi に必要なすべての証明書を提供します。VMCA は各 Platform Services Controller にインストールされると、他の変更を加えずに直ちにソリューションのセキュリティを強化します。このデフォルトの構成を維持することで、証明書管理の運用上のオーバーヘッドが最小に抑えられます。vSphere には、証明書の期限が切れるイベントで証明書を更新するメカニズムがあります。
vSphere には、特定の証明書を独自の証明書で置き換えるメカニズムもあります。ただし、証明書管理のオーバーヘッドを低く抑えるために、ノード間の暗号化を提供している SSL 証明書のみを置き換えます。
証明書管理には、次のオプションが推奨されます。
| モード | 説明 | メリット |
|---|---|---|
| VMCA のデフォルト証明書 | VMCA は、vCenter Server および ESXi ホストのすべての証明書を提供します。 | 最もシンプルで、オーバーヘッドが最小になります。VMCA は、vCenter Server および ESXi ホストのすべての証明書のライフサイクルを管理します。 |
| VMCA のデフォルト証明書と外部 SSL 証明書(ハイブリッド モード) | Platform Services Controllerおよび vCenter Server Appliance の SSL 証明書を置き換え、VMCA でソリューション ユーザーおよび ESXi ホストの証明書を管理できるようにします。高度なセキュリティに対応したデプロイでは、必要に応じて、ESXi ホストの SSL 証明書も置き換えることができます。 | シンプルでセキュアです。VMCA で内部証明書を管理しますが、企業で承認した SSL 証明書を使用できるため、ブラウザに証明書を信頼させることができるという利点があります。 |
VMware では、ソリューション ユーザー証明書または STS 証明書を置き換えることも、VMCA の代わりに従属 CA を使用することも推奨していません。これらのオプションのいずれかを選択すると、著しい複雑さとセキュリティに対する好ましくない影響が潜在的に発生し、運用上のリスクが無用に増大する可能性があります。vSphere 環境内での証明書管理の詳細については、http://vmware.com/go/hybridvmcaで「New Product Walkthrough - Hybrid vSphere SSL Certificate Replacement」というブログ記事を参照してください。
既存の証明書を置き換えるには、次のオプションを使用します。
| オプション | 詳細については、ドキュメントを参照してください。 |
|---|---|
| vSphere Clientを使用する。vSphere 6.7 以降では、Platform Services Controller は vSphere Client を使用して管理します。 | vSphere Client での証明書の管理 |
| コマンド ラインから vSphere Certificate Manager ユーティリティを使用する。 | vSphere Certificate Manager ユーティリティによる証明書の管理 |
| CLI コマンドを使用して証明書を手動で置き換える。 | CLI コマンドを使用したサービスと証明書の管理 |
