ESXi SSL 証明書とキーの置き換え

企業のセキュリティポリシーによっては、各ホストでデフォルトの ESXi SSL 証明書をサードパーティ CA 署名付き証明書と置き換えるように要求される場合があります。

vSphere コンポーネントは、デフォルトで、インストール時に作成される VMCA 署名付き証明書とキーを使用します。誤って VMCA 署名付き証明書を削除してしまった場合、その vCenter Server システムからホストを削除し、再度追加します。ホストを追加すると、vCenter Server は、VMCA の新しい証明書を要求し、その証明書を使用してホストをプロビジョニングします。

企業のポリシー上必要な場合は、VMCA 署名付き証明書を、商業認証局または組織認証局のいずれかの信頼されている認証局 (CA) からの証明書で置き換えます。

デフォルトの証明書は、vSphere 5.5 証明書と同じ場所にあります。デフォルトの証明書は、さまざまな方法で信頼されている証明書と置き換えることができます。

注： vSphere Web Services SDK の vim.CertificateManager および vim.host.CertificateManager 管理対象オブジェクトを使用することもできます。vSphere Web Services SDK のドキュメントを参照してください。

証明書を置き換えたら、vCenter Server および ESXi ホストの信頼関係を確保するために、ホストを管理する vCenter Server システムの VECS の TRUSTED_ROOTS ストアを更新する必要があります。

ESXi ホストの CA 署名付き証明書の使用に関する詳細な手順については、証明書モード切り替えワークフローを参照してください。

注： vSAN クラスタの一部である ESXi ホストで SSL 証明書を置き換える場合は、 https://kb.vmware.com/s/article/56441にある VMware ナレッジベースの記事に記載されている手順に従ってください。