証明書インフラストラクチャの設定や更新に必要な作業は、環境の要件によって異なります。新規インストールとアップグレードのどちらを実行しているのか、ESXi と vCenter Server のどちらを検討しているのか、などを考慮する必要があります。
管理者が VMware 証明書を置き換えない場合
VMCA では、すべての証明書管理を扱うことができます。VMCA をルート認証局として使用する証明書を使って、vCenter Server コンポーネントおよび ESXi ホストを VMCA でプロビジョニングします。以前のバージョンの vSphere から vSphere 6 にアップグレードしている場合、自己署名証明書はすべて VMCA によって署名された証明書に置き換えられます。
VMware 証明書を置き換えない場合、環境では自己署名証明書の代わりに VMCA 署名付き証明書が使用されます。
管理者が VMware 証明書をカスタム証明書に置き換える場合
企業ポリシーでサード パーティ認証局 (CA) またはエンタープライズ CA によって署名された証明書の使用が規定されている場合、またはカスタム証明書の情報が要求される場合、新規インストールには複数の選択肢があります。
- サード パーティ CA またはエンタープライズ CA によって署名された VMCA ルート証明書を使用できます。VMCA ルート証明書をその署名証明書に置き換えます。このシナリオでは、VMCA 証明書が中間証明書となります。完全な証明書チェーンを含む証明書を使用して、vCenter Server コンポーネントおよび ESXi ホストを VMCA でプロビジョニングします。
- 企業ポリシーでチェーン内の中間証明書が許可されない場合は、証明書を明示的に置き換えることができます。vSphere Client、vSphere Certificate Manager ユーティリティを使用するか、証明書管理 CLI を使用して証明書を手動で置き換えることができます。
カスタム証明書を使用する環境をアップグレードする場合、一部の証明書を保持できます。
- ESXi ホストは、アップグレード中にカスタム証明書を保持します。vCenter Server アップグレード プロセスを実行すると、関連するすべてのルート証明書が、vCenter Server の VECS の TRUSTED_ROOTS ストアに追加されることを確認してください。
vSphere 6.0 以降にアップグレードした後で、証明書モードを [カスタム] に設定できます。証明書モードが VMCA(デフォルト)で、ユーザーが vSphere Client から証明書の更新を実行する場合、VMCA 署名付き証明書によってカスタム証明書が置き換えられます。
- シンプルな vCenter Server のインストールを組み込みデプロイにアップグレードする場合、vCenter Server はカスタム証明書を維持します。アップグレード後の環境は、以前と同様に動作します。既存の vCenter Server および vCenter Single Sign-On の証明書を維持します。これらの証明書は、マシン SSL 証明書として使用されます。さらに、VMCA 署名付き証明書が、VMCA によって各ソリューション ユーザー(vCenter サービスのコレクション)に割り当てられます。ソリューション ユーザーは、vCenter Single Sign-On への認証でのみこの証明書を使用します。通常、ソリューション ユーザー証明書の置き換えが企業ポリシーで規定されていることはありません。
ほとんどの証明書管理タスクには、コマンドライン ユーティリティである vSphere Certificate Manager を使用できます。
vSphere 証明書インターフェイス
インターフェイス | 用途 |
---|---|
vSphere Client | グラフィカル ユーザー インターフェイスを使用して、証明書に関連する一般的なタスクを実行します。 |
vSphere Automation API | 『VMware vSphere Automation SDKs Programming Guide』を参照してください。 |
Certificate Manager ユーティリティ | vCenter Server インストールのコマンド ラインから証明書置き換えに関連する一般的なタスクを実行します。 |
証明書管理 CLI | すべての証明書管理タスクを dir-cli、certool、および vecs-cli を使用して実行します。 |
sso-config ユーティリティ | STS 証明書管理は、vCenter Server インストールのコマンド ラインから実行します。 |
PowerCLI 12.4(vSphere 7.0 以降が必要) | 信頼されている証明書ストアの管理、vCenter Server マシン SSL 証明書の管理、および ESXi マシン SSL 証明書の管理を実行します。 |
ESXi では、vSphere Client から証明書管理を実行します。VMCA は、証明書をプロビジョニングして、ESXi ホストのローカルに保存します。VMDIR または VECS には ESXi ホスト証明書を保存しません。『vSphere のセキュリティ』ドキュメントを参照してください。
サポートされる vCenter 証明書
vCenter Server および関連するマシンとサービスでは、次の証明書がサポートされます。
- VMware 認証局 (VMCA) によって生成され、署名された証明書。
- カスタム証明書。
- 独自の内部 PKI から生成されるエンタープライズ証明書。
- Verisign や GoDaddy などの外部 PKI で生成された、サードパーティ CA 署名付き証明書。
ルート CA が存在しない OpenSSL を使用して作成された、自己署名証明書はサポートされません。