vSphere Client を使用して証明書を管理および表示できます。また、vSphere Certificate Manager ユーティリティを使用することで多数の証明書管理タスクを実行することもできます。
vSphere Client では、次の管理タスクを実行することができます。
- マシン SSL 証明書、信頼できるルート証明書、および Security Token Service (STS) 証明書を表示します。
- 新しい信頼できるルート証明書を追加し、既存のマシン SSL 証明書および STS 証明書を更新または置き換えます。
- マシン SSL 証明書のカスタム証明書署名リクエスト (CSR) を生成し、認証局から返されたら証明書を置き換えます。
証明書の置き換えワークフローの大部分は、vSphere Client で完全にサポートされています。マシン SSL 証明書の CSR を生成する場合は、vSphere Client または Certificate Manager ユーティリティを使用できます。
サポートされているワークフロー
vCenter Server のインストール後、このノード上の VMware 認証局は、デフォルトの証明書を使用して環境内の他のすべてのノードをプロビジョニングします。現在の証明書管理の推奨については、vSphere セキュリティ証明書を参照してください。
次のワークフローのいずれかを使用して、証明書を更新または置き換えることができます。
- VMCA を中間 CA にする
- vSphere Certificate Manager ユーティリティを使用することで、CSR を生成することができます。CSR から受信する証明書を編集して VMCA をチェーンに追加したら、環境に証明書チェーンとプライベート キーを追加できます。すべての証明書を更新すると、VMCA は、完全なチェーンによって署名された証明書を使用して、すべてのマシンとソリューション ユーザーをプロビジョニングします。
- カスタム証明書による証明書の置き換え
- VMCA を使用しない場合は、置き換える証明書の CSR を生成できます。認証局は、各 CSR にルート証明書および署名付き証明書を戻します。 vCenter Server からルート証明書およびカスタム証明書をアップロードできます。
注: VMCA を中間認証局として使用している場合、またはカスタム証明書を使用している場合は、複雑さが著しく高まり、セキュリティに悪影響が及ぶ可能性が生じて、運用上のリスクが不必要に増大することがあります。vSphere 環境内での証明書管理の詳細については、
http://vmware.com/go/hybridvmcaで「
New Product Walkthrough - Hybrid vSphere SSL Certificate Replacement」というブログ記事を参照してください。