CLI を使用して、vCenter Server STS 証明書をカスタム生成された証明書またはサードパーティの証明書と置き換えることができます。
既存の STS 署名証明書を置換することで、会社が求める証明書を使用する、または有効期限切れ間近の証明書を更新することができます。デフォルトの STS 署名証明書を置き換えるには、最初に新しい証明書を生成する必要があります。
STS 証明書は、外部向けの証明書ではありません。会社のセキュリティ ポリシーで要求される場合を除き、この証明書は置き換えないでください。
注意: ここで説明する手順を使用する必要があります。ファイル システム上の証明書を直接置き換えないでください。
手順
- vCenter Server シェルに root としてログインします。
- 証明書を作成します。
- 新しい証明書を保持するためのトップレベル ディレクトリを作成し、ディレクトリの場所を確認します。
mkdir newsts
cd newsts
pwd
#resulting output: /root/newsts
- 新しいディレクトリに certool.cfg ファイルをコピーします。
cp /usr/lib/vmware-vmca/share/config/certool.cfg /root/newsts
- Vim などのコマンドライン エディタを使用して、certool.cfg ファイルのコピーを開き、ローカルの vCenter Server IP アドレスとホスト名を使用するように編集します。国は必須で、次の例に示すように 2 文字で指定する必要があります。
#
# Template file for a CSR request
#
# Country is needed and has to be 2 characters
Country = US
Name = STS
Organization = ExampleInc
OrgUnit = ExampleInc Dev
State = Indiana
Locality = Indianapolis
IPAddress = 10.0.1.32
Email = [email protected]
Hostname = homecenter.exampleinc.local
- キーを生成します。
/usr/lib/vmware-vmca/bin/certool --server localhost --genkey --privkey=/root/newsts/sts.key --pubkey=/root/newsts/sts.pub
- 証明書を生成します。
/usr/lib/vmware-vmca/bin/certool --gencert --cert=/root/newsts/newsts.cer --privkey=/root/newsts/sts.key --config=/root/newsts/certool.cfg
- 証明書チェーンとプライベート キーを使用して、PEM ファイルを作成します。
cat newsts.cer /var/lib/vmware/vmca/root.cer sts.key > newsts.pem
- STS 署名証明書を更新します。たとえば、次のようにします。
/opt/vmware/bin/sso-config.sh -set_signing_cert -t vsphere.local /root/newsts/newsts.pem
- vCenter Server システムと、拡張リンク モード構成の一部であるその他の vCenter Server システムを再起動します。『vCenter Server の構成』ドキュメントの vCenter Server の再起動方法に関するトピックを参照してください。
認証が正しく動作するよう、
vCenter Server を再起動する必要があります。STS サービスと
vSphere Client の両方が再起動されます。