証明書の要件は、VMware 認証局 (VMCA) を中間認証局 (CA) として使用するか、カスタム証明書を使用するかによって異なります。マシン証明書の要件も異なります。
開始する前に、環境内ですべてのノードの時刻が確実に同期されるようにします。
すべてのインポートされた証明書の要件
- キー サイズ:2,048 ビット(最小)から 16,384 ビット(最大)(PEM エンコード)
- PEM 形式。VMware では、PKCS8 および PKCS1(RSA キー)がサポートされます。VECS に追加したキーは、PKCS8 に変換されます。
- x509 バージョン 3
- SubjectAltName には DNS Name=machine_FQDN が含まれている必要があります。
- CRT 形式
- キー使用法として、デジタル署名、キー暗号化が含まれている必要があります。
- vpxd-extension ソリューション ユーザーの証明書を除外して、[拡張キー使用] を空にするか、[サーバ認証] を含めることができます。
- ワイルドカードによる証明書。
- アルゴリズム md2WithRSAEncryption、md5WithRSAEncryption、RSASSA-PSS、dsaWithSHA1、ecdsa_with_SHA1、sha1WithRSAEncryption はサポートされていません。
RFC 2253 に対する証明書のコンプライアンス
証明書は、RFC 2253 に準拠している必要があります。
CSR の生成に Certificate Manager を使用しない場合は、CSR に次のフィールドが確実に含まれるようにします。
文字列 | X.500 属性のタイプ |
---|---|
CN | commonName |
L | localityName |
ST | stateOrProvinceName |
O | organizationName |
OU | organizationalUnitName |
C | countryName |
STREET | streetAddress |
DC | domainComponent |
UID | userid |
- [email protected] ユーザー、つまり接続している vCenter Single Sign-On ドメインの管理者のパスワード。
- Certificate Manager によって Certool.cfg ファイルに保存される情報。ほとんどのフィールドで、デフォルト値を受け入れたり、サイト固有の値を指定したりできます。マシンの FQDN が必要です。
- [email protected] のパスワード
- 2 文字の国名コード
- 会社名
- 組織名
- 部門名
- 都道府県
- 市区町村
- IP アドレス(オプション)
- E メール
- ホスト名、すなわち証明書を置き換えるマシンの完全修飾ドメイン名 (FQDN)「ホスト名が FQDN と一致しない場合、証明書の置き換えは正しく完了せず、環境が不安定な状態になる可能性があります。
- Certificate Manager を実行する vCenter Server ノードの IP アドレス
VMCA を中間 CA として使用する場合の要件
証明書タイプ | 証明書の要件 |
---|---|
ルート証明書 |
|
マシン SSL 証明書 | vSphere Certificate Manager を使用して CSR を作成するか、手動で CSR を作成できます。 CSR を手動で作成する場合は、「すべてのインポートされた証明書の要件」に記載されている要件を満たす必要があります。ホストの FQDN を指定する必要もあります。 |
ソリューション ユーザー証明書 | vSphere Certificate Manager を使用して CSR を作成するか、手動で CSR を作成することができます。
注: 各ソリューション ユーザーの名前には異なる値を使用する必要があります。証明書を手動で生成する場合、使用するツールに応じて、
[サブジェクト] の
[CN] として表示される可能性があります。
vSphere Certificate Manager を使用する場合、各ソリューション ユーザーの証明書情報を求められます。vSphere Certificate Manager によって、certool.cfg に情報が保存されます。「Information that Certificate Manager Prompts For」を参照してください。 vpxd-extension ソリューション ユーザーの場合は、[拡張キー使用] を空のままにするか、「TLS WWW クライアント認証」を使用できます。 |
カスタム 証明書の要件
証明書タイプ | 証明書の要件 |
---|---|
マシン SSL 証明書 | 各ノード上のマシン SSL 証明書には、サードパーティまたはエンタープライズ CA からの個別の証明書が必要です。
|
ソリューション ユーザー証明書 | 各ノード上の各ソリューション ユーザーには、サードパーティまたはエンタープライズ CA からの個別の証明書が必要です。
後でソリューション ユーザー証明書をカスタム証明書と置き換える場合、サードパーティの CA の署名証明書チェーンすべてを指定します。 vpxd-extension ソリューション ユーザーの場合は、[拡張キー使用] を空のままにするか、「TLS WWW クライアント認証」を使用できます。 |