管理者が VMware 証明書を置き換えない場合

VMCA では、すべての証明書管理を扱うことができます。VMCA をルート認証局として使用する証明書を使って、vCenter Server コンポーネントおよび ESXi ホストを VMCA でプロビジョニングします。以前のバージョンの vSphere から vSphere 6 にアップグレードしている場合、自己署名証明書はすべて VMCA によって署名された証明書に置き換えられます。

VMware 証明書を置き換えない場合、環境では自己署名証明書の代わりに VMCA 署名付き証明書が使用されます。

管理者が VMware 証明書をカスタム証明書に置き換える場合

企業ポリシーでサード パーティ認証局 (CA) またはエンタープライズ CA によって署名された証明書の使用が規定されている場合、またはカスタム証明書の情報が要求される場合、新規インストールには複数の選択肢があります。

• サード パーティ CA またはエンタープライズ CA によって署名された VMCA ルート証明書を使用できます。VMCA ルート証明書をその署名証明書に置き換えます。このシナリオでは、VMCA 証明書が中間証明書となります。完全な証明書チェーンを含む証明書を使用して、vCenter Server コンポーネントおよび ESXi ホストを VMCA でプロビジョニングします。
• 企業ポリシーでチェーン内の中間証明書が許可されない場合は、証明書を明示的に置き換えることができます。vSphere Client、vSphere Certificate Manager ユーティリティを使用するか、証明書管理 CLI を使用して証明書を手動で置き換えることができます。

カスタム証明書を使用する環境をアップグレードする場合、一部の証明書を保持できます。

• ESXi ホストは、アップグレード中にカスタム証明書を保持します。vCenter Server アップグレード プロセスを実行すると、関連するすべてのルート証明書が、vCenter Server の VECS の TRUSTED_ROOTS ストアに追加されることを確認してください。

  vSphere 6.0 以降にアップグレードした後で、証明書モードを [カスタム] に設定できます。証明書モードが VMCA（デフォルト）で、ユーザーが vSphere Client から証明書の更新を実行する場合、VMCA 署名付き証明書によってカスタム証明書が置き換えられます。

• シンプルな vCenter Server のインストールを組み込みデプロイにアップグレードする場合、vCenter Server はカスタム証明書を維持します。アップグレード後の環境は、以前と同様に動作します。既存の vCenter Server および vCenter Single Sign-On の証明書を維持します。これらの証明書は、マシン SSL 証明書として使用されます。さらに、VMCA 署名付き証明書が、VMCA によって各ソリューション ユーザー（vCenter サービスのコレクション）に割り当てられます。ソリューション ユーザーは、vCenter Single Sign-On への認証でのみこの証明書を使用します。通常、ソリューション ユーザー証明書の置き換えが企業ポリシーで規定されていることはありません。

  ほとんどの証明書管理タスクには、コマンドライン ユーティリティである vSphere Certificate Manager を使用できます。

vSphere 証明書インターフェイス

ESXi では、vSphere Client から証明書管理を実行します。VMCA は、証明書をプロビジョニングして、ESXi ホストのローカルに保存します。VMDIR または VECS には ESXi ホスト証明書を保存しません。『vSphere のセキュリティ』ドキュメントを参照してください。

サポートされる vCenter 証明書

vCenter Server および関連するマシンとサービスでは、次の証明書がサポートされます。

• VMware 認証局 (VMCA) によって生成され、署名された証明書。
• カスタム証明書。
  • 独自の内部 PKI から生成されるエンタープライズ証明書。
  • Verisign や GoDaddy などの外部 PKI で生成された、サードパーティ CA 署名付き証明書。

ルート CA が存在しない OpenSSL を使用して作成された、自己署名証明書はサポートされません。