vSphere Client を使用して、vCenter Server STS 署名証明書を更新できます。VMware Certificate Authority (VMCA) によって新しい証明書が発行され、現在の証明書が置き換えられます。

STS 署名証明書を更新すると、VMware Certificate Authority (VMCA) によって新しい証明書が発行され、VMware Directory Service (vmdir) の現在の証明書が置き換えられます。STS は新しい証明書を使用して新しいトークンを発行します。拡張リンク モード構成で、vmdir は新しい証明書を発行元の vCenter Server システムからリンクされているすべての vCenter Server システムにアップロードします。STS 署名証明書を更新する場合、vCenter Server システムと、拡張リンク モード構成の一部であるその他の vCenter Server システムを再起動する必要があります。

カスタム生成された、またはサードパーティの STS 署名証明書を使用している場合、更新によってその証明書が VMCA によって発行された証明書で上書きされます。カスタム生成された、またはサードパーティの STS 署名証明書を更新するには、インポートおよび置換オプションを使用します。vSphere Client を使用した vCenter Server STS 証明書のインポートと置き換えを参照してください。

VMCA によって発行された STS 署名証明書は 10 年間有効で、外部向けの証明書ではありません。会社のセキュリティ ポリシーで要求される場合を除き、この証明書は置き換えないでください。

前提条件

証明書を管理する場合、ローカル ドメイン(デフォルトでは administrator@vsphere.local)の管理者のパスワードを入力する必要があります。証明書を更新する場合、vCenter Server システムの管理者権限のあるユーザーの vCenter Single Sign-On 認証情報も入力する必要があります。

手順

  1. vSphere Client を使用して vCenter Server にログインします。
  2. administrator@vsphere.local または vCenter Single Sign-On 管理者グループの別のメンバーのユーザー名とパスワードを指定します。
    インストール時に異なるドメインを指定した場合は、administrator@ mydomain としてログインします。
  3. [証明書の管理] ユーザー インターフェイスに移動します。
    1. [ホーム] メニューから [管理] を選択します。
    2. [証明書] で、[証明書の管理] をクリックします。
  4. vCenter Server の認証情報の入力を求めるメッセージが表示されたら、この情報を入力します。
  5. [STS 署名証明書] で、[アクション] > [vCenter Server 証明書を使用して更新] の順にクリックします。
    カスタム生成された、またはサードパーティの STS 署名証明書を使用している場合、更新操作によってその証明書が VMCA で生成された証明書で上書きされます。
    注: コンプライアンス上の理由でサードパーティの証明書を使用していた場合、更新によって vCenter Server システムが非準拠になることがあります。また、カスタム生成された、またはサードパーティの STS 署名証明書を使用している場合、Security Token Service でそのカスタム証明書またはサードパーティ証明書がトークン署名に使用されなくなります。
  6. [更新] をクリックします。
    VMCA は、この vCenter Server システムおよびリンクされた vCenter Server システムの STS 署名証明書を更新します。
  7. (オプション) [強制的に更新] ボタンが表示される場合、vCenter Single Sign-On で問題が検出されたということです。[強制的に更新] をクリックする前に、以下の予想される結果を考慮してください。
    • 影響を受けるすべての vCenter Server システムで vSphere 7.0 Update 3 以降が実行されていない場合、証明書の更新はサポートされません。
    • [強制的に更新] を選択する場合は、すべての vCenter Server システムを再起動する必要があり、再起動するまでこれらのシステムが動作不能になる可能性があります。
    1. 影響が不明な場合、[キャンセル] をクリックして、環境を調査してください。
    2. 影響がわかっている場合、[強制的に更新] をクリックして、更新を続行してから、手動で vCenter Server システムを更新します。

次のタスク

拡張リンク モード構成のすべての STS サービスで新しいトークンが検証されるようにするには、リンクされている vCenter Server システムを再起動する必要があります。『 vCenter Server の構成』ドキュメントの vCenter Server の再起動方法に関するトピックを参照してください。