Vmware 認証局 (VMCA) は、証明書を使用して環境をプロビジョニングします。証明書には、安全な接続のための SSL 証明書、vCenter Single Sign-On へのサービスの認証のためのソリューション ユーザー証明書、および ESXi ホスト用の証明書があります。

次の証明書が使用されます。
表 1. vSphere で使用する証明書
証明書 プロビジョニング済み コメント
ESXi 証明書 VMCA(デフォルト) ESXi ホスト上にローカルに保存されます。
マシン SSL 証明書 VMCA(デフォルト) VECS に保存されます。
ソリューション ユーザー証明書 VMCA(デフォルト) VECS に保存されます。
vCenter Single Sign-On SSL 署名証明書 インストール中にプロビジョニングされます。 この証明書はコマンドラインから管理します。
注: 予期しない動作の発生を避けるため、ファイルシステム内でこの証明書を変更しないでください。
VMware Directory Service (VMDIR) SSL 証明書 インストール中にプロビジョニングされます。 vSphere 6.5 以降では、マシン SSL 証明書は vmdir 証明書として使用されます。
SMS 自己署名証明書 IOFilter プロバイダの登録中にプロビジョニングされます。 vSphere 7.0 以降では、SMS 自己署名証明書は /etc/vmware/ssl/iofiltervp_castore.pem に保存されます。vSphere 7.0 より前のリリースでは、SMS 自己署名証明書は /etc/vmware/ssl/castore.pem に保存されます。また、retainVasaProviderCertificate=True の場合、SMS ストアは VVOL VASA プロバイダ(バージョン 4.0 以前)の自己署名証明書を保存することもできます。

ESXi

ESXi 証明書は、各ホストの /etc/vmware/ssl ディレクトリでローカルに保存されます。ESXi 証明書は、デフォルトでは VMCA によってプロビジョニングされますが、代わりにカスタム証明書を使うこともできます。ESXi 証明書は、ホストが最初に vCenter Server に追加されたとき、およびホストが再接続されたときにプロビジョニングされます。

マシン SSL 証明書

各ノードのマシン SSL 証明書は、サーバ側の SSL ソケットの作成に使用されます。SSL クライアントは、この SSL ソケットに接続します。この証明書は、サーバの検証と、HTTPS や LDAPS などのセキュアな通信に使われます。

vCenter Server ノードごとに専用のマシン SSL 証明書があります。vCenter Server ノードで実行中のすべてのサービスが、マシン SSL 証明書を使用して SSL エンドポイントを公開します。

マシン SSL 証明書を使用するサービスは次のとおりです。
  • リバース プロキシ サービス。個々の vCenter サービスへの SSL 接続では、常にリバース プロキシに接続します。サービス自体にトラフィックが送られることはありません。
  • vCenter Server サービス (vpxd)。
  • VMware Directory Service (vmdir)。

VMware 製品では、標準の X.509 バージョン 3 (X.509v3) 証明書を使用して、セッション情報を暗号化します。セッション情報は、SSL を介してコンポーネント間で送信されます。

ソリューション ユーザー証明書

ソリューション ユーザーでは、1 つ以上の vCenter Server サービスがカプセル化されています。各ソリューション ユーザーには、vCenter Single Sign-On への認証が必要です。ソリューション ユーザーは証明書を使用して、SAML トークンの交換による vCenter Single Sign-On への認証を行います。

ソリューション ユーザーは、最初に認証が必要になった時、再起動の後、およびタイムアウト時間の終了後に、vCenter Single Sign-On に証明書を提供します。タイムアウト(Holder-of-Key (HOK) タイムアウト)は、vSphere Client から設定することができ、デフォルト値は 2,592,000 秒(30 日)です。

たとえば、vpxd ソリューション ユーザーは、vCenter Single Sign-On に接続するときに、vCenter Single Sign-On に証明書を提供します。vpxd ソリューション ユーザーは、vCenter Single Sign-On から SAML トークンを受け取り、そのトークンを使用して他のソリューション ユーザーやサービスへの認証を行います。

次のソリューション ユーザー証明書ストアが VECS に含まれています。

  • machine:License Server およびログ サービスにより使用されます。
    注: マシン ソリューション ユーザー証明書は、マシン SSL 証明書とは無関係です。マシン ソリューション ユーザー証明書は、SAML トークン交換に使用されます。マシン SSL 証明書は、マシン向けのセキュア SSL 接続に使用されます。
  • vpxd:vCenter サービス デーモン (vpxd) ストア。vpxd は、このストアに保存されているソリューション ユーザー証明書を使用して vCenter Single Sign-On への認証を行います。
  • vpxd-extension:vCenter Server 拡張機能のストア。Auto Deploy サービス、Inventory Service、およびその他のソリューション ユーザーに含まれないその他のサービス。
  • vsphere-webclientvSphere Client ストア。パフォーマンス チャート サービスなどの一部の追加サービスも含まれます。
  • wcp:VMware vSphere® with VMware Tanzu™ ストア。

内部証明書

vCenter Single Sign-On 証明書は、VMware Endpoint Certificate Store (VECS) に保存されず、証明書管理ツールで管理しません。原則として変更は必要ありませんが、特別な状況ではこれらの証明書を置き換えることができます。
vCenter Single Sign-On 署名証明書
vCenter Single Sign-On サービスには、vSphere 全体を通じて認証に使用される SAML トークンを発行する ID プロバイダ サービスが含まれます。SAML トークンは、ユーザーの ID を表すもので、グループ メンバーシップ情報が含まれます。 vCenter Single Sign-On が SAML トークンを発行すると、SAML トークンが信頼できるソースから取得されたことを vCenter Single Sign-On のクライアントが確認できるように、各トークンは署名証明書によって署名されます。
この証明書は CLI から置き換えることができます。 コマンド ラインを使用した vCenter Server STS 証明書の置き換えを参照してください。
VMware ディレクトリ サービス SSL 証明書
vSphere 6.5 以降では、マシン SSL 証明書は VMware ディレクトリ証明書として使用されます。以前のバージョンの vSphere の場合は、対応するドキュメントを参照してください。
vSphere 仮想マシンの暗号化の証明書
vSphere 仮想マシンの暗号化ソリューションは、外部のキー管理サーバ (KMS) と接続します。ソリューションに対する KMS の認証方法によっては、証明書が生成されて VMware Endpoint Certificate Store (VECS) に保存される場合があります。『 vSphere のセキュリティ』ドキュメントを参照してください。