Vmware 認証局 (VMCA) は、証明書を使用して環境をプロビジョニングします。証明書には、安全な接続のための SSL 証明書、vCenter Single Sign-On へのサービスの認証のためのソリューション ユーザー証明書、および ESXi ホスト用の証明書があります。
証明書 | プロビジョニング済み | コメント |
---|---|---|
ESXi 証明書 | VMCA(デフォルト) | ESXi ホスト上にローカルに保存されます。 |
マシン SSL 証明書 | VMCA(デフォルト) | VECS に保存されます。 |
ソリューション ユーザー証明書 | VMCA(デフォルト) | VECS に保存されます。 |
vCenter Single Sign-On SSL 署名証明書 | インストール中にプロビジョニングされます。 | この証明書はコマンドラインから管理します。
注: 予期しない動作の発生を避けるため、ファイルシステム内でこの証明書を変更しないでください。
|
VMware Directory Service (VMDIR) SSL 証明書 | インストール中にプロビジョニングされます。 | vSphere 6.5 以降では、マシン SSL 証明書は vmdir 証明書として使用されます。 |
SMS 自己署名証明書 | IOFilter プロバイダの登録中にプロビジョニングされます。 | vSphere 7.0 以降では、SMS 自己署名証明書は /etc/vmware/ssl/iofiltervp_castore.pem に保存されます。vSphere 7.0 より前のリリースでは、SMS 自己署名証明書は /etc/vmware/ssl/castore.pem に保存されます。また、retainVasaProviderCertificate=True の場合、SMS ストアは VVOL VASA プロバイダ(バージョン 4.0 以前)の自己署名証明書を保存することもできます。 |
ESXi
ESXi 証明書は、各ホストの /etc/vmware/ssl ディレクトリでローカルに保存されます。ESXi 証明書は、デフォルトでは VMCA によってプロビジョニングされますが、代わりにカスタム証明書を使うこともできます。ESXi 証明書は、ホストが最初に vCenter Server に追加されたとき、およびホストが再接続されたときにプロビジョニングされます。
マシン SSL 証明書
各ノードのマシン SSL 証明書は、サーバ側の SSL ソケットの作成に使用されます。SSL クライアントは、この SSL ソケットに接続します。この証明書は、サーバの検証と、HTTPS や LDAPS などのセキュアな通信に使われます。
vCenter Server ノードごとに専用のマシン SSL 証明書があります。vCenter Server ノードで実行中のすべてのサービスが、マシン SSL 証明書を使用して SSL エンドポイントを公開します。
- リバース プロキシ サービス。個々の vCenter サービスへの SSL 接続では、常にリバース プロキシに接続します。サービス自体にトラフィックが送られることはありません。
- vCenter Server サービス (vpxd)。
- VMware Directory Service (vmdir)。
VMware 製品では、標準の X.509 バージョン 3 (X.509v3) 証明書を使用して、セッション情報を暗号化します。セッション情報は、SSL を介してコンポーネント間で送信されます。
ソリューション ユーザー証明書
ソリューション ユーザーでは、1 つ以上の vCenter Server サービスがカプセル化されています。各ソリューション ユーザーには、vCenter Single Sign-On への認証が必要です。ソリューション ユーザーは証明書を使用して、SAML トークンの交換による vCenter Single Sign-On への認証を行います。
ソリューション ユーザーは、最初に認証が必要になった時、再起動の後、およびタイムアウト時間の終了後に、vCenter Single Sign-On に証明書を提供します。タイムアウト(Holder-of-Key (HOK) タイムアウト)は、vSphere Client から設定することができ、デフォルト値は 2,592,000 秒(30 日)です。
たとえば、vpxd ソリューション ユーザーは、vCenter Single Sign-On に接続するときに、vCenter Single Sign-On に証明書を提供します。vpxd ソリューション ユーザーは、vCenter Single Sign-On から SAML トークンを受け取り、そのトークンを使用して他のソリューション ユーザーやサービスへの認証を行います。
次のソリューション ユーザー証明書ストアが VECS に含まれています。
machine
:License Server およびログ サービスにより使用されます。注: マシン ソリューション ユーザー証明書は、マシン SSL 証明書とは無関係です。マシン ソリューション ユーザー証明書は、SAML トークン交換に使用されます。マシン SSL 証明書は、マシン向けのセキュア SSL 接続に使用されます。vpxd
:vCenter サービス デーモン (vpxd) ストア。vpxd は、このストアに保存されているソリューション ユーザー証明書を使用して vCenter Single Sign-On への認証を行います。vpxd-extension
:vCenter Server 拡張機能のストア。Auto Deploy サービス、Inventory Service、およびその他のソリューション ユーザーに含まれないその他のサービス。vsphere-webclient
:vSphere Client ストア。パフォーマンス チャート サービスなどの一部の追加サービスも含まれます。wcp
:VMware vSphere® with VMware Tanzu™ ストア。
内部証明書
- vCenter Single Sign-On 署名証明書
- vCenter Single Sign-On サービスには、vSphere 全体を通じて認証に使用される SAML トークンを発行する ID プロバイダ サービスが含まれます。SAML トークンは、ユーザーの ID を表すもので、グループ メンバーシップ情報が含まれます。 vCenter Single Sign-On が SAML トークンを発行すると、SAML トークンが信頼できるソースから取得されたことを vCenter Single Sign-On のクライアントが確認できるように、各トークンは署名証明書によって署名されます。
- VMware ディレクトリ サービス SSL 証明書
- vSphere 6.5 以降では、マシン SSL 証明書は VMware ディレクトリ証明書として使用されます。以前のバージョンの vSphere の場合は、対応するドキュメントを参照してください。
- vSphere 仮想マシンの暗号化の証明書
- vSphere 仮想マシンの暗号化ソリューションは、外部のキー管理サーバ (KMS) と接続します。ソリューションに対する KMS の認証方法によっては、証明書が生成されて VMware Endpoint Certificate Store (VECS) に保存される場合があります。『 vSphere のセキュリティ』ドキュメントを参照してください。