多くの企業では、置き換えが必要となるのは外部からアクセス可能なサービスの証明書のみです。ただし、Certificate Manager では、ソリューション ユーザー証明書の置き換えもサポートしています。ソリューション ユーザーとは、サービスのコレクション(vSphere Clientに関連付けられているすべてのサービスなど)です。
ソリューション ユーザー証明書を求められたら、サードパーティ CA の完全な署名証明書チェーンを提供します。
形式は次のようになります。
-----BEGIN CERTIFICATE----- Signing certificate -----END CERTIFICATE----- -----BEGIN CERTIFICATE----- CA intermediate certificates -----END CERTIFICATE----- -----BEGIN CERTIFICATE----- Root certificate of enterprise or external CA -----END CERTIFICATE-----
前提条件
開始する前に、環境内のマシンごとに CSR が存在している必要があります。CSR は、vSphere Certificate Manager を使用して生成することも、明示的に生成することもできます。
- vSphere Certificate Manager を使用して CSR を生成するには、vSphere Certificate Manager による証明書署名要求の生成(カスタム証明書)を参照してください。
- 各ノードのソリューション ユーザーごとに、サードパーティ CA またはエンタープライズ CA の証明書を要求します。CSR は、vSphere Certificate Manager を使用して生成することも、管理者自身が準備することもできます。CSR は次の要件を満たす必要があります。
- キー サイズ:2,048 ビット(最小)から 16,384 ビット(最大)(PEM エンコード)
- CRT 形式
- x509 バージョン 3
- SubjectAltName には DNS Name=<machine_FQDN> が含まれている必要があります。
-
各ソリューション ユーザー証明書には異なる Subject が指定されている必要があります。たとえば、ソリューション ユーザー名(例: vpxd)などの一意の識別子を含めることができます。
- キー使用法として、デジタル署名、キー暗号化が含まれている必要があります
VMware のナレッジベースの記事「Obtaining vSphere certificates from a Microsoft Certificate Authority」(http://kb.vmware.com/kb/2112014) も参照してください。