vSphere Certificate Manager ユーティリティを使用して、すべての証明書をカスタム証明書に置き換えることができます。プロセスを始める前に、認証局 (CA) に CSR を送信する必要があります。Certificate Manager を使用して CSR を生成できます。

マシン SSL 証明書のみを置き換えて、VMCA によってプロビジョニングされたソリューション ユーザー証明書を使用することもできます。ソリューション ユーザー証明書は、vSphere コンポーネント間の通信にのみ使用されます。

カスタム証明書を使用する場合は、VMCA によって署名された証明書をカスタム証明書に置き換えます。vSphere Client、vSphere Certificate Manager ユーティリティ、または CLI を使用して手動で証明書を置き換えることができます。証明書は VECS に保存されます。

すべての証明書をカスタム証明書で置き換えるには、vSphere Certificate Manager ユーティリティを複数回実行する必要があります。マシン SSL 証明書とソリューション ユーザー証明書の両方を置き換える手順の概要は次のとおりです。

  1. vSphere Certificate Manager ユーティリティを起動しています。
  2. マシン SSL 証明書とソリューション ユーザー証明書の証明書署名要求を、各マシンで個別に生成します。
    1. マシン SSL 証明書の CSR を生成するには、オプション 1 の [カスタム証明書によるマシン SSL 証明書の置き換え] を選択します。もう一度オプションの入力を求められたら、オプション 1 の [マシン SSL 証明書の証明書署名リクエストおよびキーの生成] を選択します。
    2. 会社のポリシーでハイブリッド デプロイが許可されていない場合は、オプション 5 の [カスタム証明書によるソリューション ユーザー証明書の置き換え] を選択します。
  3. CSR を外部またはエンタープライズ認証局 (CA) に送信します。署名付き証明書とルート証明書を認証局 (CA) から受信します。
  4. 署名付き証明書とルート証明書を CA から受け取ったら、オプション 1 の [カスタム証明書によるマシン SSL 証明書の置き換え] を使用して、各マシンのマシン SSL 証明書を置き換えます。
  5. ソリューション ユーザー証明書も置き換える場合は、オプション 5 の [カスタム証明書によるソリューション ユーザー証明書の置き換え] を選択します。
  6. 最後に、複数の vCenter Server インスタンスが拡張リンク モード構成で接続されている場合は、各ノードでこのプロセスを繰り返します。

Certificate Manager を使用した証明書署名リクエストの生成(カスタム証明書)

vSphere Certificate Manager ユーティリティを使用すると、エンタープライズ CA で使用したり外部認証局に送信したりできる証明書署名リクエスト (CSR) を生成できます。サポートされているさまざまな証明書置き換えプロセスで、証明書を使用できます。

前提条件

情報を指定するよう求めるプロンプトが vSphere Certificate Manager から表示されます。表示されるプロンプトは、使用環境と、置き換える証明書のタイプによって異なります。

  • CSR の生成全般では、[email protected] ユーザーのパスワード、または接続先の vCenter Single Sign-On ドメインの管理者が求められます。
  • vCenter Server のホスト名または IP アドレスを入力するように求められます。
  • マシン SSL 証明書の CSR を生成するには、certool.cfg ファイルに保存されている証明書プロパティが求められます。ほとんどのフィールドで、デフォルト値を受け入れたり、サイト固有の値を指定したりできます。マシンの FQDN が必要です。
    注: vSphere 8.0 以降では、vSphere Certificate Manager を使用して CSR を生成すると、最小キー サイズが 2,048 ビットから 3,072 ビットに変更されます。vSphere 8.0 Update 1 以降では、 vSphere Client を使用して、キー サイズが 2,048 ビットの CSR が生成されます。
    注: vSphere の FIPS 証明書は、2,048 ビットと 3,072 ビットの RSA キー サイズのみを検証します。

手順

  1. 環境内の各 vCenter ServervCenter Server シェル)にログインし、vSphere Certificate Manager を起動します。 
    /usr/lib/vmware-vmca/bin/certificate-manager
  2. オプション 1 の [カスタム証明書によるマシン SSL 証明書の置き換え] を選択します。
  3. 管理者ユーザーとパスワードを入力します。
  4. オプション 1 の [マシン SSL 証明書の証明書署名リクエストおよびキーの生成] を選択して CSR を生成し、プロンプトに応答して vSphere Certificate Manager を終了します。
    プロセスの一部として、ディレクトリを指定する必要があります。vSphere Certificate Manager は、ディレクトリに証明書とキー ファイルを配置します。
  5. すべてのソリューション ユーザー証明書も置き換える場合は、vSphere Certificate Manager を再起動し、オプション 5 の [カスタム証明書によるソリューション ユーザー証明書の置き換え] を選択します。
  6. パスワードを指定します。また、要求された場合は、vCenter Server の IP アドレスまたはホスト名を指定します。
  7. オプション 1 の [ソリューション ユーザー証明書の証明書署名リクエストおよびキーの生成] を選択して CSR を生成し、プロンプトに応答して vSphere Certificate Manager を終了します。
    プロセスの一部として、ディレクトリを指定する必要があります。Certificate Manager は、このディレクトリに証明書とキー ファイルを配置します。

次のタスク

証明書の置き換えを実行するには、Certificate Manager を使用したマシン SSL 証明書のカスタム証明書への置き換えを参照してください。

Certificate Manager を使用したマシン SSL 証明書のカスタム証明書への置き換え

vSphere Certificate Manager ユーティリティを使用して、各ノードのマシン SSL 証明書をカスタム証明書に置き換えることができます。 マシン SSL 証明書は、各 vCenter Server ノードでリバース プロキシ サービスによって使用されます。他のサービスとの安全な通信を実現するため、各マシンにマシン SSL 証明書が必要です。

前提条件

開始する前に、環境内のマシンごとに CSR が存在している必要があります。CSR は、vSphere Certificate Manager を使用して生成することも、明示的に生成することもできます。

  1. vSphere Certificate Manager を使用して CSR を生成するには、Certificate Manager を使用した証明書署名リクエストの生成(カスタム証明書)を参照してください。
  2. CSR を明示的に生成するには、サードパーティまたはエンタープライズ CA に各マシンの証明書を要求します。証明書は次の要件を満たす必要があります。
    • キー サイズ:2,048 ビット(最小)から 8,192 ビット(最大)(PEM エンコード)
    • CRT 形式
    • x509 バージョン 3
    • SubjectAltName には DNS Name=<machine_FQDN> が含まれている必要があります。
    • キー使用法として、デジタル署名、キー暗号化が含まれている必要があります

VMware ナレッジベースの記事「Obtaining vSphere certificates from a Microsoft Certificate Authority」(https://kb.vmware.com/s/article/2112014) も参照してください。

手順

  1. vCenter Server にログインし、vSphere Certificate Manager を起動します。 
    /usr/lib/vmware-vmca/bin/certificate-manager
  2. オプション 1 の [カスタム証明書によるマシン SSL 証明書の置き換え] を選択します。
  3. 管理者ユーザーとパスワードを入力します。
  4. オプション 2 [カスタム証明書とキーをインポートして既存のマシン SSL 証明書を置き換え] を選択して、証明書の置き換えを開始してプロンプトに応答します。
    vSphere Certificate Manager により、次の情報を指定するように求められます。
    • [email protected] のパスワード
    • 有効なマシン SSL カスタム証明書(.crt ファイル)
    • 有効なマシン SSL カスタム キー(.key ファイル)
    • カスタム マシン SSL 証明書の有効な署名証明書(.crt ファイル)
    • vCenter Server の IP アドレス

Certificate Manager を使用したソリューション ユーザー証明書のカスタム証明書への置き換え

多くの企業では、置き換えが必要となるのは外部からアクセス可能なサービスの証明書のみです。ただし、vSphere Certificate Manager では、ソリューション ユーザー証明書の置き換えもサポートしています。ソリューション ユーザーとは、サービスのコレクション(vSphere Client に関連付けられているすべてのサービスなど)です。

ソリューション ユーザー証明書を求められたら、サードパーティ CA の完全な署名証明書チェーンを提供します。

形式は次のようになります。 
-----BEGIN CERTIFICATE-----
Signing certificate
-----END CERTIFICATE-----
-----BEGIN CERTIFICATE-----
CA intermediate certificates
-----END CERTIFICATE-----
-----BEGIN CERTIFICATE-----
Root certificate of enterprise or external CA
-----END CERTIFICATE-----

前提条件

開始する前に、環境内のマシンごとに CSR が存在している必要があります。CSR は、vSphere Certificate Manager を使用して生成することも、明示的に生成することもできます。

  1. vSphere Certificate Manager を使用して CSR を生成するには、Certificate Manager を使用した証明書署名リクエストの生成(カスタム証明書)を参照してください。
  2. 各ノードのソリューション ユーザーごとに、サードパーティ CA またはエンタープライズ CA の証明書を要求します。CSR は、vSphere Certificate Manager を使用して生成することも、管理者自身が準備することもできます。CSR は次の要件を満たす必要があります。
    • キー サイズ:2,048 ビット(最小)から 8,192 ビット(最大)(PEM エンコード)
    • CRT 形式
    • x509 バージョン 3
    • SubjectAltName には DNS Name=<machine_FQDN> が含まれている必要があります。

    • 各ソリューション ユーザー証明書には異なる Subject が指定されている必要があります。たとえば、ソリューション ユーザー名(例: vpxd)などの一意の識別子を含めることができます。

    • キー使用法として、デジタル署名、キー暗号化が含まれている必要があります

VMware のナレッジベースの記事「Obtaining vSphere certificates from a Microsoft Certificate Authority」(http://kb.vmware.com/kb/2112014) も参照してください。

手順

  1. vCenter Server にログインし、vSphere Certificate Manager を起動します。 
    /usr/lib/vmware-vmca/bin/certificate-manager
  2. オプション 5 の [カスタム証明書によるソリューション ユーザー証明書の置き換え] を選択します。
  3. シングル サインオン (SSO) ユーザーとパスワードを入力します。
  4. オプション 2 の [カスタム証明書とキーをインポートして既存のソリューション ユーザー証明書を置き換え] を選択し、プロンプトに応答します。
    vSphere Certificate Manager により、次の情報を指定するように求められます。
    • [email protected] のパスワード
    • マシン ソリューション ユーザーの証明書およびキー
    • マシン ソリューション ユーザーの証明書とキー(vpxd.crt および vpxd.key
    • すべてのソリューション ユーザーの証明書とキー(vpxd.crt および vpxd.key)の完全なセット