vSphere では、通信の暗号化、サービスの認証、トークンへの署名に証明書を使用してセキュリティを提供します。
vSphere での証明書の使用方法
vSphere は、次の処理に証明書を使用します。
- vCenter Server ホストや ESXi ホストなどの 2台のノード間の通信を暗号化します。
- vSphere サービスを認証します。
- トークンへの署名などの内部のアクションを実行する。
VMware 認証局について
vSphere の内部認証局 (CA)、VMware 認証局 (VMCA) は、vCenter Server および ESXi に必要なすべての証明書を提供します。VMCA は vCenter Server ホストそれぞれにインストールされ、何らかの変更を加えなくてもすぐにソリューションを保護します。このデフォルトの構成を維持することで、証明書管理の運用上のオーバーヘッドが最小に抑えられます。vSphere には、証明書の期限が切れるイベントで証明書を更新するメカニズムがあります。
vSphere には、特定の証明書を独自の証明書で置き換えるメカニズムもあります。ただし、証明書管理のオーバーヘッドを低く抑えるために、ノード間の暗号化を提供している SSL 証明書のみを置き換えます。
vSphere 証明書の管理に必要なオプション
証明書管理には、次のオプションが推奨されます。
| モード | 説明 | メリット |
|---|---|---|
| VMCA のデフォルト証明書 | VMCA は、vCenter Server および ESXi ホストのすべての証明書を提供します。 | 最もシンプルで、オーバーヘッドが最小になります。VMCA は、vCenter Server および ESXi ホストの証明書のライフサイクルを管理します。 |
| VMCA のデフォルト証明書と外部 SSL 証明書(ハイブリッド モード) | vCenter Server の SSL 証明書を置き換え、VMCA でソリューション ユーザーおよび ESXi ホストの証明書を管理できるようにします。高度なセキュリティに対応したデプロイでは、必要に応じて、ESXi ホストの SSL 証明書も置き換えることができます。 | シンプルでセキュアです。VMCA で内部証明書を管理しますが、企業で承認した SSL 証明書を使用できるため、ブラウザに証明書を信頼させることができるという利点があります。 |
vSphere 証明書の置き換えに使用できるツール
既存の証明書を置き換えるには、次のオプションを使用します。
| オプション | 詳細については、ドキュメントを参照してください。 |
|---|---|
| vSphere Client を使用する。 | vSphere Client を使用した証明書の管理 |
| vSphere Automation API を使用して、証明書のライフサイクルを管理します。 | VMware vSphere Automation SDKs Programming Guide |
| コマンド ラインから vSphere Certificate Manager ユーティリティを使用する。 | vSphere Certificate Manager ユーティリティを使用した証明書の管理 |
| CLI コマンドを使用して証明書を手動で置き換える。 | vSphere 証明書とサービス CLI コマンド リファレンス |
