CLI を使用して、vCenter Server STS 証明書をカスタム生成された証明書またはサードパーティの証明書と置き換えることができます。

既存の STS 署名証明書を置換することで、会社が求める証明書を使用する、または有効期限切れ間近の証明書を更新することができます。デフォルトの STS 署名証明書を置き換えるには、最初に新しい証明書を生成する必要があります。

STS 証明書は、外部向けの証明書ではありません。会社のセキュリティ ポリシーで要求される場合を除き、この証明書は置き換えないでください。

注意: ここで説明する手順を使用する必要があります。ファイル システム上の証明書を直接置き換えないでください。

前提条件

vCenter Server への SSH ログインを有効にします。vCenter Serverシェルからの vCenter Server の管理を参照してください。

手順

  1. vCenter Server シェルに root としてログインします。
  2. 証明書を作成します。
    1. 新しい証明書を保持するためのトップレベル ディレクトリを作成し、ディレクトリの場所を確認します。
      mkdir newsts
      cd newsts
      pwd 
      #resulting output: /root/newsts
    2. 新しいディレクトリに certool.cfg ファイルをコピーします。
      cp /usr/lib/vmware-vmca/share/config/certool.cfg /root/newsts
      
    3. Vim などのコマンドライン エディタを使用して、certool.cfg ファイルのコピーを開き、ローカルの vCenter Server IP アドレスとホスト名を使用するように編集します。国は必須で、次の例に示すように 2 文字で指定する必要があります。
      #
      # Template file for a CSR request
      #
      
      # Country is needed and has to be 2 characters
      Country = US
      Name = STS
      Organization = ExampleInc
      OrgUnit = ExampleInc Dev
      State = Indiana
      Locality = Indianapolis
      IPAddress = 10.0.1.32
      Email = chen@exampleinc.com
      Hostname = homecenter.exampleinc.local
    4. キーを生成します。
      /usr/lib/vmware-vmca/bin/certool --server localhost --genkey --privkey=/root/newsts/sts.key --pubkey=/root/newsts/sts.pub
      
    5. 証明書を生成します。
      /usr/lib/vmware-vmca/bin/certool --gencert --cert=/root/newsts/newsts.cer --privkey=/root/newsts/sts.key --config=/root/newsts/certool.cfg
      
    6. 証明書チェーンとプライベート キーを使用して、PEM ファイルを作成します。
      cat newsts.cer /var/lib/vmware/vmca/root.cer sts.key > newsts.pem
  3. STS 署名証明書を更新します。たとえば、次のようにします。
    /opt/vmware/bin/sso-config.sh -set_signing_cert -t vsphere.local /root/newsts/newsts.pem
  4. vCenter Server システムと、拡張リンク モード構成の一部であるその他の vCenter Server システムを再起動します。『vCenter Server の構成』ドキュメントの vCenter Server の再起動方法に関するトピックを参照してください。
    認証が正しく動作するよう、 vCenter Server を再起動する必要があります。STS サービスと vSphere Client の両方が再起動されます。