VMCA 署名付きルート証明書を新しく生成したら、環境内のすべてのマシン SSL 証明書を置き換えることができます。
他のサービスとの安全な通信を実現するため、各マシンにマシン SSL 証明書が必要です。マルチノード環境では、各ノードでマシン SSL 証明書生成コマンドを実行する必要があります。外部の Platform Services Controller を使用する vCenter Server の Platform Services Controller を参照するには、--server パラメータを使用します。
前提条件
すべてのサービスを停止し、証明書の伝達およびストレージを処理するサービスを開始する準備ができている。
手順
例: VMCA 署名付き証明書によるマシン証明書の置き換え
- SSL 証明書用の構成ファイルを作成し、そのファイルを現在のディレクトリに ssl-config.cfg として保存します。
Country = US Name = vmca-<PSC-FQDN-example> Organization = <my_company> OrgUnit = <my_company Engineering> State = <my_state> Locality = <mytown> Hostname = <FQDN>
- マシン SSL 証明書にキー ペアを生成します。このコマンドを各管理ノードと Platform Services Controller ノードで実行します。--server オプションは必要ありません。
C:\>"C:\Program Files\VMware\vCenter Server\vmcad\"certool --genkey --privkey=ssl-key.priv --pubkey=ssl-key.pub
現在のディレクトリに ssl-key.priv および ssl-key.pub ファイルが作成されます。
- 新しいマシン SSL 証明書を生成します。この証明書は VMCA によって署名されます。VMCA ルート証明書をカスタム証明書で置き換える場合には、VMCA はすべての証明書に完全な証明書チェーンで署名します。
- Platform Services Controller ノードまたは組み込みインストールで、次のように実行します。
C:\>"C:\Program Files\VMware\vCenter Server\vmcad\"certool --gencert --cert=new-vmca-ssl.crt --privkey=ssl-key.priv --config=ssl-config.cfg
- vCenter Server(外部インストール)の場合:
C:\>"C:\Program Files\VMware\vCenter Server\vmcad\"certool --gencert --cert=new-vmca-ssl.crt --privkey=ssl-key.priv --config=ssl-config.cfg --server=<psc-ip-or-fqdn>
現在のディレクトリに new-vmca-ssl.crt ファイルが作成されます。
- Platform Services Controller ノードまたは組み込みインストールで、次のように実行します。
- (オプション)VECS のコンテンツをリスト表示します。
"C:\Program Files\VMware\vCenter Server\vmafdd\" vecs-cli store list
- Platform Services Controller のサンプル出力:
MACHINE_SSL_CERT TRUSTED_ROOTS TRUSTED_ROOT_CRLS machine
- vCenter Server のサンプル出力:
output (on vCenter): MACHINE_SSL_CERT TRUSTED_ROOTS TRUSTED_ROOT_CRLS machine vpxd vpxd-extension vsphere-webclient sms
- Platform Services Controller のサンプル出力:
- VECS 内のマシン SSL 証明書を新しいマシン SSL 証明書で置き換えます。--store と --alias の値はデフォルト名と正確に一致させる必要があります。
- Platform Services Controller で、次のコマンドを実行して MACHINE_SSL_CERT ストア内のマシン SSL 証明書を更新します。
C:\>"C:\Program Files\VMware\vCenter Server\vmafdd\"vecs-cli entry delete --store MACHINE_SSL_CERT --alias __MACHINE_CERT C:\>"C:\Program Files\VMware\vCenter Server\vmafdd\"vecs-cli entry create --store MACHINE_SSL_CERT --alias __MACHINE_CERT --cert new-vmca-ssl.crt --key ssl-key.priv
- 各管理ノードまたは組み込みデプロイで、次のコマンドを実行して MACHINE_SSL_CERT ストア内のマシン SSL 証明書を更新します。FQDN はマシンごとに異なるため、各マシンの証明書は別々に更新する必要があります。
C:\>"C:\Program Files\VMware\vCenter Server\vmafdd\"vecs-cli entry delete --store MACHINE_SSL_CERT --alias __MACHINE_CERT C:\>"C:\Program Files\VMware\vCenter Server\vmafdd\"vecs-cli entry create --store MACHINE_SSL_CERT --alias __MACHINE_CERT --cert new-vmca-ssl.crt --key ssl-key.priv
- Platform Services Controller で、次のコマンドを実行して MACHINE_SSL_CERT ストア内のマシン SSL 証明書を更新します。
次のタスク
使用している ESXi ホストの証明書を置き換えることもできます。『vSphere のセキュリティ』ドキュメントを参照してください。
マルチノード デプロイでルート証明書を置き換えた後は、外部の Platform Services Controller ノードを使用するすべての vCenter Server 上でサービスを再起動する必要があります。