vSphere Certificate Manager ユーティリティを使用して、VMCA を中間 CA にすることができます。プロセスの完了後、VMCA はすべての新規証明書に完全なチェーンで署名します。必要な場合は、vSphere Certificate Manager を使用して、既存のすべての証明書を新しい VMCA 署名付き証明書に置き換えることができます。

VMCA を中間 CA にするには、vSphere Certificate Manager を複数回実行する必要があります。マシン SSL 証明書とソリューション ユーザー証明書の両方を置き換える手順の概要は次のとおりです。

  1. vSphere Certificate Manager ユーティリティを起動しています。
  2. オプション 2 の [カスタム署名証明書による VMCA ルート証明書の置き換えと、すべての証明書の置き換え] を実行して CSR を生成します。証明書についての情報が必要になる場合があります。もう一度オプションの入力を求められたら、オプション 1 の [VMCA ルート署名証明書の証明書署名リクエストとキーの生成] を選択します。
  3. CSR を外部またはエンタープライズ認証局 (CA) に送信します。署名付き証明書とルート証明書を認証局 (CA) から受信します。
  4. VMware 認証局 (VMCA) のルート証明書と認証局 (CA) のルート証明書を結合してファイルを保存します。
  5. オプション 2 の [カスタム署名証明書による VMCA ルート証明書の置き換えと、すべての証明書の置き換え] を実行してすべての証明書を置き換えてプロンプトに従います。このプロセスにより、ローカル マシン上のすべての証明書が置き換えられます。
  6. (オプション)複数の vCenter Server インスタンスが拡張リンク モード構成で接続されている場合に、各ノードの証明書を次の方法で置き換えます。
    1. まず、マシン SSL 証明書を(新しい)VMCA 証明書に置き換えます(オプション 3 [マシンの SSL 証明書の VMCA 証明書での置き換え])。
    2. 次に、ソリューション ユーザー証明書を(新しい)VMCA 証明書に置き換えます(オプション 6 [VMCA 証明書によるソリューション ユーザー証明書の置き換え])。

Certificate Manager を使用した CSR の生成とルート証明書(中間 CA)の用意

vSphere Certificate Manager ユーティリティを使用して証明書署名リクエスト (CSR) を生成できます。この CSR をエンタープライズまたは外部の認証局 (CA) に送信して署名を要求します。署名付きの証明書は、サポートされているさまざまな証明書置き換えプロセスで使用できます。

  • CSR は vSphere Certificate Manager を使用して作成できます。
    注: vSphere 8.0 以降では、vSphere Certificate Manager を使用して CSR を生成すると、最小キー サイズが 2,048 ビットから 3,072 ビットに変更されます。vSphere 8.0 Update 1 以降では、 vSphere Client を使用して、キー サイズが 2,048 ビットの CSR が生成されます。
    注: vSphere の FIPS 証明書は、2,048 ビットと 3,072 ビットの RSA キー サイズのみを検証します。
  • CSR を手動で作成する場合、署名のために送付する証明書は以下の要件を満たしている必要があります。
    • キー サイズ:2,048 ビット(最小)から 8,192 ビット(最大)(PEM エンコード)
    • PEM 形式。VMware では、PKCS8 および PKCS1(RSA キー)がサポートされます。VECS に追加されたキーは、PKCS8 に変換されます。
    • x509 バージョン 3
    • ルート証明書に対しては、認証局の拡張を true に設定する必要があり、証明書の署名を要件の一覧に含める必要があります。例:
      basicConstraints        = critical,CA:true
keyUsage                = critical,digitalSignature,keyCertSign
    • CRL の署名は有効にしてください。
    • [拡張キー使用] は、空にするか、[サーバ認証] を指定します。
    • 証明書チェーンの長さに明示的な制限はありません。VMware 認証局 (VMCA) では、デフォルトで OpenSSL が使用されます。この場合、10 個の証明書となります。
    • ワイルドカードまたは複数の DNS 名を使用した証明書はサポートされていません。
    • VMCA の従属認証局は作成できません。

      Microsoft 認証局の使用例については、VMware ナレッジベースの記事「Creating a Microsoft Certificate Authority Template for SSL certificate creation in vSphere 6.x」(https://kb.vmware.com/s/article/2112009) を参照してください。

前提条件

情報を指定するよう求めるプロンプトが vSphere Certificate Manager から表示されます。表示されるプロンプトは、使用環境と、置き換える証明書のタイプによって異なります。

CSR の生成全般では、[email protected] ユーザーのパスワード、または接続先の vCenter Single Sign-On ドメインの管理者のパスワードが求められます。

手順

  1. vCenter Server シェルにログインし、vSphere Certificate Manager を起動します。 
    /usr/lib/vmware-vmca/bin/certificate-manager
  2. オプション 2 の [カスタム署名証明書による VMCA ルート証明書の置き換えと、すべての証明書の置き換え] を選択します。
    最初はこのオプションを使用して証明書の置き換えではなく CSR の生成を行います。
  3. 管理者ユーザーとパスワードを入力します。
  4. オプション 1 の [VMCA ルート署名証明書の証明書署名リクエストとキーの生成] を選択して CSR を生成し、プロンプトに応答します。
    プロセスの一部として、ディレクトリを指定する必要があります。署名対象の証明書( *.csr ファイル)と対応するキー ファイル( *.key ファイル)は、vSphere Certificate Manager によってディレクトリ内に配置されます。
  5. 証明書署名リクエスト (CSR) の名前を root_signing_cert.csr とします。
  6. 署名のために CSR を組織または外部の認証局 (CA) に送信し、署名された証明書の名前を root_signing_cert.cer とします。
  7. テキスト エディタで次のように証明書を結合します。 
    -----BEGIN CERTIFICATE-----
Signed VMCA root certificate
-----END CERTIFICATE-----
-----BEGIN CERTIFICATE-----
CA intermediate certificates
-----END CERTIFICATE-----
-----BEGIN CERTIFICATE-----
Root certificate of enterprise or external CA
-----END CERTIFICATE-----
  8. ファイルを root_signing_chain.cer という名前で保存します。

次のタスク

既存のルート証明書をチェーン ルート証明書に置き換えます。Certificate Manager を使用した VMCA ルート証明書のカスタム署名証明書への置き換えと、すべての証明書の置き換えを参照してください。

Certificate Manager を使用した VMCA ルート証明書のカスタム署名証明書への置き換えと、すべての証明書の置き換え

vSphere Certificate Manager ユーティリティを使用すると、CSR を生成して、署名のためにエンタープライズまたはサードパーティの CA に CSR を送信できます。続いて、VMware 認証局 (VMCA) ルート証明書をカスタム署名証明書に置換し、既存のすべての証明書を、カスタム CA が署名した証明書に置き換えます。

vCenter Server で vSphere Certificate Manager を実行して、VMCA ルート証明書をカスタム署名証明書に置き換えます。

前提条件

  • 証明書チェーンを生成します。
    • vSphere Certificate Manager を使用して CSR を作成するか、手動で CSR を作成することができます。
    • 署名証明書をサードパーティ CA またはエンタープライズ CA から受信した後、その証明書を最初の VMCA ルート証明書と組み合わせて完全なチェーンを作成します。

      証明書の要件と証明書を組み合わせる処理については、Certificate Manager を使用した CSR の生成とルート証明書(中間 CA)の用意を参照してください。

  • 必要な情報を収集します。
    • [email protected] のパスワード
    • ルートの有効なカスタム証明書(.crt ファイル)
    • ルートの有効なカスタム キー(.key ファイル)

手順

  1. vCenter Server シェルにログインし、vSphere Certificate Manager を起動します。 
    /usr/lib/vmware-vmca/bin/certificate-manager
  2. オプション 2 の [カスタム署名証明書による VMCA ルート証明書の置き換えと、すべての証明書の置き換え] を選択します。
  3. 管理者ユーザーとパスワードを入力します。
  4. オプション 2 の [カスタム証明書とキーをインポートして既存の VMCA ルート証明書を置き換え] を選択し、プロンプトに応答します。
    1. 指示に従い、ルート証明書のフルパスを指定します。
    2. 証明書を初めて置き換えるときには、マシン SSL 証明書に使用される情報の入力を求められます。
      この情報は、マシンの必須 FQDN を含み、 certool.cfg ファイルに保存されます。

Certificate Manager を使用したマシン SSL 証明書の VMCA 証明書(中間 CA)への置き換え

VMCA を中間 CA として使用する場合は、vSphere Certificate Manager ユーティリティを使用してマシン SSL 証明書を明示的に置き換えることができます。最初に、vCenter Server の VMCA ルート証明書を置き換えます。次に、マシン SSL 証明書を置き換えて、VMCA の新しいルートで署名することができます。このオプションは、破損したり、期限切れ間近となったマシンの SSL 証明書を置き換える際も使用できます。

既存のマシン SSL 証明書を新しい VMCA 署名付きの証明書に置き換えると、vSphere Certificate Manager により次の情報が求められ、vCenter Server のパスワードと IP アドレスを除くすべての値が certool.cfg ファイルに入力されます。

  • [email protected] のパスワード
  • 2 文字の国名コード
  • 会社名
  • 組織名
  • 部門名
  • 都道府県
  • 市区町村
  • IP アドレス(オプション)
  • E メール
  • ホスト名、すなわち証明書を置き換えるマシンの完全修飾ドメイン名 (FQDN)「ホスト名が FQDN と一致しない場合、証明書の置き換えは正しく完了せず、環境が不安定な状態になる可能性があります。
  • vCenter Server の IP アドレス
  • VMCA 名、すなわち証明書の設定を実行しているマシンの完全修飾ドメイン名。
注: OU (organizationalUnitName) フィールドは必須ではなくなりました。

前提条件

  • このオプションを指定して vSphere Certificate Manager を実行する場合は、次の情報を把握している必要があります。
    • [email protected] のパスワード。
    • 新しい VMCA 署名付き証明書を生成するマシンの FQDN。他のすべてのプロパティは事前定義された値にデフォルト設定されますが、変更が可能です。
    • vCenter Server システムのホスト名または IP アドレス。

手順

  1. vCenter Server シェルにログインし、vSphere Certificate Manager を起動します。 
    /usr/lib/vmware-vmca/bin/certificate-manager
  2. オプション 3 の [マシンの SSL 証明書の VMCA 証明書での置き換え] を選択します。
  3. 管理者ユーザーとパスワードを入力します。
  4. プロンプトに応答します。
    vSphere Certificate Manager によって情報は certool.cfg ファイルに保存されます。

結果

vSphere Certificate Manager はマシン SSL 証明書を置き換えます。

Certificate Manager を使用したソリューション ユーザー証明書の VMCA 証明書(中間 CA)への置き換え

VMCA を中間 CA として使用する場合は、vSphere Certificate Manager ユーティリティを使用してソリューション ユーザー証明書を明示的に置き換えることができます。最初に、vCenter Server の VMCA ルート証明書を置き換えます。次に、ソリューション ユーザー証明書を置き換えて、VMCA の新しいルートで署名することができます。このオプションは、破損したり、期限切れ間近となったソリューション証明書を置き換える際も使用できます。

前提条件

  • 複数の vCenter Server インスタンスが拡張リンク モード構成で接続されている環境で VMCA ルート証明書を置き換えた場合は、すべての vCenter Server ノードを明示的に再起動します。
  • このオプションを指定して vSphere Certificate Manager を実行する場合は、次の情報を把握している必要があります。
    • [email protected] のパスワード
    • vCenter Server システムのホスト名または IP アドレス

手順

  1. vCenter Server シェルにログインし、vSphere Certificate Manager を起動します。 
    /usr/lib/vmware-vmca/bin/certificate-manager
  2. オプション 6 [VMCA 証明書によるソリューション ユーザー証明書の置き換え] を選択します。
  3. 管理者ユーザーとパスワードを入力します。
  4. プロンプトに応答します。
    詳細については、VMware ナレッジベースの記事 ( https://kb.vmware.com/s/article/2112281) を参照してください。

結果

vSphere Certificate Manager によって、すべてのソリューション ユーザー証明書が置き換えられます。