vSphere Certificate Manager を使用して証明書署名要求 (CSR) を生成できます。この CSR をエンタープライズまたは外部の認証局 (CA) に送信して署名を要求します。署名付きの証明書は、サポートされているさまざまな証明書置き換えプロセスで使用できます。

  • CSR は vSphere Certificate Manager を使用して作成できます。
  • CSR を手動で作成する場合、署名のために送付する証明書は以下の要件を満たしている必要があります。
    • キー サイズ:2,048 ビット(最小)から 16,384 ビット(最大)(PEM エンコード)
    • PEM 形式。VMware では、PKCS8 および PKCS1(RSA キー)がサポートされます。VECS に追加されたキーは、PKCS8 に変換されます。
    • x509 バージョン 3
    • ルート証明書に対しては、認証局の拡張を true に設定する必要があり、証明書の署名を要件の一覧に含める必要があります。例:
      basicConstraints        = critical,CA:true
      keyUsage                = critical,digitalSignature,keyCertSign
    • CRL の署名は有効にしてください。
    • [拡張キー使用] は、空にするか、[サーバ認証] を指定します。
    • 証明書チェーンの長さに明示的な制限はありません。VMware 認証局 (VMCA) では、デフォルトで OpenSSL が使用されます。この場合、10 個の証明書となります。
    • ワイルドカードまたは複数の DNS 名を使用した証明書はサポートされていません。
    • VMCA の従属認証局は作成できません。

      Microsoft Certificate Authority の使用例については、VMware のナレッジベースの記事「Creating a Microsoft Certificate Authority Template for SSL certificate creation in vSphere 6.x (KB2112009)」(http://kb.vmware.com/kb/2112009) を参照してください。

前提条件

情報を指定するよう求めるプロンプトが vSphere Certificate Manager から表示されます。表示されるプロンプトは、使用環境と、置き換える証明書のタイプによって異なります。

CSR の生成全般では、[email protected] ユーザーのパスワード、または接続先の vCenter Single Sign-On ドメインの管理者のパスワードが求められます。

手順

  1. vSphere Certificate Manager を実行します。
    /usr/lib/vmware-vmca/bin/certificate-manager
  2. オプション 2 を選択します。
    最初はこのオプションを使用して証明書の置き換えではなく CSR の生成を行います。
  3. パスワードを指定します。また、要求された場合は、vCenter Server の IP アドレスまたはホスト名を指定します。
  4. オプション 1 を選択して CSR を生成し、プロンプトに応答します。
    プロセスの一部として、ディレクトリを指定する必要があります。署名対象の証明書( *.csr ファイル)と対応するキー ファイル( *.key ファイル)は、Certificate Manager によってディレクトリ内に配置されます。
  5. 証明書署名リクエスト (CSR) の名前を root_signing_cert.csr とします。
  6. 署名のために CSR を組織または外部の認証局 (CA) に送信し、署名された証明書の名前を root_signing_cert.cer とします。
  7. テキスト エディタで次のように証明書を結合します。
    -----BEGIN CERTIFICATE-----
    Signed VMCA root certificate
    -----END CERTIFICATE-----
    -----BEGIN CERTIFICATE-----
    CA intermediate certificates
    -----END CERTIFICATE-----
    -----BEGIN CERTIFICATE-----
    Root certificate of enterprise or external CA
    -----END CERTIFICATE-----
  8. ファイルを root_signing_chain.cer という名前で保存します。

次のタスク

既存のルート証明書をチェーン ルート証明書に置き換えます。カスタム署名証明書による VMCA ルート証明書の置き換えと、すべての証明書の置き換えを参照してください。