vSphere Certificate Manager を使用して証明書署名要求 (CSR) を生成できます。この CSR をエンタープライズまたは外部の認証局 (CA) に送信して署名を要求します。署名付きの証明書は、サポートされているさまざまな証明書置き換えプロセスで使用できます。
- CSR は vSphere Certificate Manager を使用して作成できます。
- CSR を手動で作成する場合、署名のために送付する証明書は以下の要件を満たしている必要があります。
- キー サイズ:2,048 ビット(最小)から 16,384 ビット(最大)(PEM エンコード)
- PEM 形式。VMware では、PKCS8 および PKCS1(RSA キー)がサポートされます。VECS に追加されたキーは、PKCS8 に変換されます。
- x509 バージョン 3
- ルート証明書に対しては、認証局の拡張を true に設定する必要があり、証明書の署名を要件の一覧に含める必要があります。例:
basicConstraints = critical,CA:true keyUsage = critical,digitalSignature,keyCertSign
- CRL の署名は有効にしてください。
- [拡張キー使用] は、空にするか、[サーバ認証] を指定します。
- 証明書チェーンの長さに明示的な制限はありません。VMware 認証局 (VMCA) では、デフォルトで OpenSSL が使用されます。この場合、10 個の証明書となります。
- ワイルドカードまたは複数の DNS 名を使用した証明書はサポートされていません。
- VMCA の従属認証局は作成できません。
Microsoft Certificate Authority の使用例については、VMware のナレッジベースの記事「Creating a Microsoft Certificate Authority Template for SSL certificate creation in vSphere 6.x (KB2112009)」(http://kb.vmware.com/kb/2112009) を参照してください。
前提条件
情報を指定するよう求めるプロンプトが vSphere Certificate Manager から表示されます。表示されるプロンプトは、使用環境と、置き換える証明書のタイプによって異なります。
CSR の生成全般では、[email protected] ユーザーのパスワード、または接続先の vCenter Single Sign-On ドメインの管理者のパスワードが求められます。
手順
次のタスク
既存のルート証明書をチェーン ルート証明書に置き換えます。カスタム署名証明書による VMCA ルート証明書の置き換えと、すべての証明書の置き換えを参照してください。