証明書の要件は、VMware 認証局 (VMCA) を中間認証局 (CA) として使用するか、カスタム証明書を使用するかによって異なります。マシン証明書の要件も異なります。

開始する前に、環境内ですべてのノードの時刻が確実に同期されるようにします。

注: vSphere は、サーバ認証に RSA 証明書のみをデプロイし、ECDSA 証明書の生成をサポートしません。vSphere は、他のサーバによって提示された ECDSA 証明書を検証します。たとえば、vSphere が Syslog サーバに接続していて、Syslog サーバに ECDSA 証明書がある場合、vSphere はその証明書の検証をサポートします。

すべてのインポートされた証明書の要件

  • キー サイズ:2,048 ビット(最小)から 16,384 ビット(最大)(PEM エンコード)
  • PEM 形式。VMware では、PKCS8 および PKCS1(RSA キー)がサポートされます。VECS に追加したキーは、PKCS8 に変換されます。
  • x509 バージョン 3
  • SubjectAltName には DNS Name=machine_FQDN が含まれている必要があります。
  • CRT 形式
  • キー使用法として、デジタル署名、キー暗号化が含まれている必要があります。
  • vpxd-extension ソリューション ユーザーの証明書を除外して、[拡張キー使用] を空にするか、[サーバ認証] を含めることができます。
vSphere は、次の証明書をサポートしていません。
  • ワイルドカードによる証明書。
  • アルゴリズム md2WithRSAEncryption、md5WithRSAEncryption、RSASSA-PSS、dsaWithSHA1、ecdsa_with_SHA1、sha1WithRSAEncryption はサポートされていません。

RFC 2253 に対する証明書のコンプライアンス

証明書は、RFC 2253 に準拠している必要があります。

CSR の生成に Certificate Manager を使用しない場合は、CSR に次のフィールドが確実に含まれるようにします。

文字列 X.500 属性のタイプ
CN commonName
L localityName
ST stateOrProvinceName
O organizationName
OU organizationalUnitName
C countryName
STREET streetAddress
DC domainComponent
UID userid
CSR の生成に Certificate Manager を使用する場合は、次の情報を指定するように求められ、Certificate Manager によって CSR ファイルに対応するフィールドが追加されます。
  • [email protected] ユーザー、つまり接続している vCenter Single Sign-On ドメインの管理者のパスワード。
  • Certificate Manager によって Certool.cfg ファイルに保存される情報。ほとんどのフィールドで、デフォルト値を受け入れたり、サイト固有の値を指定したりできます。マシンの FQDN が必要です。
    • [email protected] のパスワード
    • 2 文字の国名コード
    • 会社名
    • 組織名
    • 部門名
    • 都道府県
    • 市区町村
    • IP アドレス(オプション)
    • E メール
    • ホスト名、すなわち証明書を置き換えるマシンの完全修飾ドメイン名 (FQDN)「ホスト名が FQDN と一致しない場合、証明書の置き換えは正しく完了せず、環境が不安定な状態になる可能性があります。
    • Certificate Manager を実行する vCenter Server ノードの IP アドレス

VMCA を中間 CA として使用する場合の要件

VMCA を中間 CA として使用する場合、証明書は、次の要件を満たす必要があります。
証明書タイプ 証明書の要件
ルート証明書
  • CSR は vSphere Certificate Manager を使用して作成できます。vSphere Certificate Manager で CSR を生成し、ルート証明書(中間認証局)を用意するを参照してください。
  • CSR を手動で作成する場合、署名のために送付する証明書は以下の要件を満たしている必要があります。
    • キー サイズ:2,048 ビット(最小)から 16,384 ビット(最大)(PEM エンコード)
    • PEM 形式。VMware では、PKCS8 および PKCS1(RSA キー)がサポートされます。VECS に追加されたキーは、PKCS8 に変換されます。
    • x509 バージョン 3
    • ルート証明書に対しては、認証局の拡張を true に設定する必要があり、証明書の署名を要件の一覧に含める必要があります。例:
      basicConstraints        = critical,CA:true
      keyUsage                = critical,digitalSignature,keyCertSign
    • CRL の署名は有効にしてください。
    • [拡張キー使用] は、空にするか、[サーバ認証] を指定します。
    • 証明書チェーンの長さに明示的な制限はありません。VMware 認証局 (VMCA) では、デフォルトで OpenSSL が使用されます。この場合、10 個の証明書となります。
    • ワイルドカードまたは複数の DNS 名を使用した証明書はサポートされていません。
    • VMCA の従属認証局は作成できません。

      Microsoft Certificate Authority の使用例については、VMware のナレッジベースの記事「Creating a Microsoft Certificate Authority Template for SSL certificate creation in vSphere 6.x (KB2112009)」(http://kb.vmware.com/kb/2112009) を参照してください。

マシン SSL 証明書

vSphere Certificate Manager を使用して CSR を作成するか、手動で CSR を作成できます。

CSR を手動で作成する場合は、「すべてのインポートされた証明書の要件」に記載されている要件を満たす必要があります。ホストの FQDN を指定する必要もあります。

ソリューション ユーザー証明書

vSphere Certificate Manager を使用して CSR を作成するか、手動で CSR を作成することができます。

注: 各ソリューション ユーザーの名前には異なる値を使用する必要があります。証明書を手動で生成する場合、使用するツールに応じて、 [サブジェクト][CN] として表示される可能性があります。

vSphere Certificate Manager を使用する場合、各ソリューション ユーザーの証明書情報を求められます。vSphere Certificate Manager によって、certool.cfg に情報が保存されます。「Information that Certificate Manager Prompts For」を参照してください。

vpxd-extension ソリューション ユーザーの場合は、[拡張キー使用] を空のままにするか、「TLS WWW クライアント認証」を使用できます。

カスタム 証明書の要件

カスタム証明書を使用する場合、証明書は次の要件を満たす必要があります。
証明書タイプ 証明書の要件
マシン SSL 証明書 各ノード上のマシン SSL 証明書には、サードパーティまたはエンタープライズ CA からの個別の証明書が必要です。
  • vSphere Client または vSphere Certificate Manager を使用して CSR を生成することも、手動で CSR を作成することもできます。CSR は、上記の「すべてのインポートされた証明書の要件」に記載されている要件を満たす必要があります。
  • ほとんどのフィールドで、デフォルト値を受け入れたり、サイト固有の値を指定したりできます。マシンの FQDN が必要です。
ソリューション ユーザー証明書 各ノード上の各ソリューション ユーザーには、サードパーティまたはエンタープライズ CA からの個別の証明書が必要です。
  • CSR は、vSphere Certificate Manager を使用して生成することも、CSR を自分で準備することもできます。CSR は、上記の「すべてのインポートされた証明書の要件」に記載されている要件を満たす必要があります。
  • vSphere Certificate Manager を使用する場合、各ソリューション ユーザーの証明書情報を求められます。vSphere Certificate Manager によって、certool.cfg に情報が保存されます。「Information that Certificate Manager Prompts For」を参照してください。

    注: 各ソリューション ユーザーの名前には異なる値を使用する必要があります。手動で生成された証明書は、使用するツールに応じて、 [サブジェクト][CN] として表示される可能性があります。

後でソリューション ユーザー証明書をカスタム証明書と置き換える場合、サードパーティの CA の署名証明書チェーンすべてを指定します。

vpxd-extension ソリューション ユーザーの場合は、[拡張キー使用] を空のままにするか、「TLS WWW クライアント認証」を使用できます。