Auto Deploy でのカスタム証明書の使用

デフォルトでは、Auto Deploy サーバは VMCA が署名した証明書を使用して各ホストをプロビジョニングします。VMCA が署名していないカスタム証明書を使用してすべてのホストをプロビジョニングするように、Auto Deploy サーバを設定できます。このシナリオでは、Auto Deploy サーバはサードパーティ認証局の従属認証局になります。

前提条件

認証局に証明書を要求します。証明書は以下の要件を満たす必要があります。
- キーサイズ：2,048 ビット以上（PEM エンコード）
- PEM 形式。VMware では、PKCS8 および PKCS1（RSA キー）がサポートされます。VECS に追加されたキーは、PKCS8 に変換されます。
- x509 バージョン 3
- ルート証明書の場合、認証局の拡張を true に設定する必要があり、証明書の署名を要件の一覧に含める必要があります。
- SubjectAltName には DNS Name=<machine_FQDN> が含まれている必要があります。
- CRT 形式
- キー使用法として、デジタル署名、否認防止、キー暗号化が含まれている必要があります。
- 1 日前の開始時刻。
- vCenter Serverインベントリにある、ESXi ホストのホスト名（または IP アドレス）に設定された CN （および SubjectAltName）
証明書とキーのファイル（rbd-ca.crt と rbd-ca.key）に名前を付けます。

手順

デフォルトの ESXi 証明書をバックアップします。
証明書は /etc/vmware-rbd/ssl/ ディレクトリ内にあります。

vSphere Authentication Proxy サービスを停止します。

ツール	手順
vCenter Server Appliance 管理インターフェイス (VAMI)	Web ブラウザで、vCenter Server Appliance 管理インターフェイス (https:// `appliance-IP-address-or-FQDN`:5480) に移動します。 root としてログインします。デフォルトの root パスワードは、vCenter Server Appliance のデプロイ時に設定したパスワードです。 [サービス] をクリックし、[VMware vSphere Authentication Proxy サービス] をクリックします。 [停止] をクリックします。
vSphere Web Client	[管理] を選択し、[デプロイ] で [システム構成] をクリックします。 [サービス] をクリックし、[VMware vSphere Authentication Proxy] サービスをします。赤色の [ サービスを停止します] アイコンをクリックします。
CLI	service-control --stop vmcam

Auto Deploy サービスが動作しているシステムで、/etc/vmware-rbd/ssl/ 内の rbd-ca.crt と rbd-ca.key を、カスタム証明書とキーのファイルに置換します。

Auto Deploy サービスが稼動しているシステムで次のコマンドを実行し、新しい証明書を使用するように VECS 内の TRUSTED_ROOTS ストアを更新します。

オプション	説明
Windows	cd "C:\Program Files\VMware\vCenter Server\vmafdd\" .\dir-cli.exe trustedcert publish --cert C:\ProgramData\VMware\vCenterServer\data\autodeploy\ssl\rbd-ca.crt .\vecs-cli force-refresh
Linux	/usr/lib/vmware-vmafd/bin/dir-cli trustedcert publish --cert /etc/vmware-rbd/ssl/rbd-ca.crt /usr/lib/vmware-vmafd/bin/vecs-cli force-refresh

オプション

説明

Windows

cd "C:\Program Files\VMware\vCenter Server\vmafdd\"
.\dir-cli.exe trustedcert publish --cert C:\ProgramData\VMware\vCenterServer\data\autodeploy\ssl\rbd-ca.crt
.\vecs-cli force-refresh

Linux

/usr/lib/vmware-vmafd/bin/dir-cli trustedcert publish --cert /etc/vmware-rbd/ssl/rbd-ca.crt
/usr/lib/vmware-vmafd/bin/vecs-cli force-refresh

TRUSTED_ROOTS ストアの内容を含む castore.pem ファイルを作成して、そのファイルを /etc/vmware-rbd/ssl/ ディレクトリに格納します。
カスタムモードでは、このファイルの保守が必要になります。
vCenter Server システムの ESXi 証明書モードを custom に変更します。
証明書モードの変更を参照してください。
vCenter Server サービスを再開し、Auto Deploy サービスを開始します。

結果

次回、Auto Deploy を使用するように設定されているホストをプロビジョニングすると、Auto Deploy サーバによって証明書が生成されます。Auto Deploy サーバでは、先ほど TRUSTED_ROOTS ストアに追加したルート証明書が使用されます。

注：証明書の置き換え後に Auto Deploy で問題が発生した場合は、VMware ナレッジベースの記事 ( http://kb.vmware.com/kb/2000988) を参照してください。