vCenter Server 証明書は vSphere Client から管理するか、API、スクリプト、または CLI を使用して管理します。

次の表に、vCenter Server 証明書の管理に使用できるインターフェイスを示します。

表 1. vSphere 証明書を管理するためのインターフェイス
インターフェイス 説明
vSphere Client Web インターフェイス(HTML5 ベース クライアント)。vSphere Client を使用した証明書の管理を参照してください。
vSphere Automation API https://developer.vmware.com/docs/11699/vmware-vsphere-automation-sdks-programming-guideの『VMware vSphere Automation SDKs Programming Guide』を参照してください。
証明書管理ユーティリティ 証明書署名リクエスト (CSR) の生成および証明書の置き換えをサポートするコマンドライン ツールです。vSphere Certificate Manager ユーティリティを使用した証明書の管理を参照してください。
証明書およびディレクトリのサービスを管理するための CLI VMware Endpoint Certificate Store (VECS) と VMware Directory Service (vmdir) の証明書を管理するためのコマンド セットです。vSphere 証明書とサービス CLI コマンド リファレンスを参照してください。

vSphere Client を使用した vCenter Server 証明書の管理

vSphere Client から vCenter Server 証明書を管理することができます。

手順

  1. ローカルの vCenter Single Sign-On ドメインの管理者権限を持つユーザーとして vCenter Server にログインします。
    デフォルトのドメインは vsphere.local です。
  2. [管理] を選択します。
  3. [証明書] で、[証明書の管理] をクリックします。
    さまざまなタイプの証明書の証明書パネルが表示されます。
  4. 証明書の詳細の表示、マシン SSL 証明書の更新、信頼できるルート証明書の追加などの証明書タスクを実行します。
    詳細については、『 vSphere Client を使用した証明書の管理』を参照してください。

CLI を使用した vCenter Server 証明書の管理

vCenter Server には、証明書署名リクエスト (CSR) の生成、証明書の管理、およびサービスの管理を行うための CLI が用意されています。

たとえば、certool コマンドを使用して CSR を生成し、証明書を置き換えることができます。

vSphere Client でサポートされていない管理タスクや自社環境用のカスタム スクリプトの作成には CLI を使用します。

表 2. vCenter Server 証明書および関連サービスを管理するための CLI
CLI 説明 リンク
certool 証明書およびキーを生成および管理します。VMware Certificate Authority (VMCA) の一部です。

certool 初期化コマンド リファレンス

vecs-cli VMware 証明書ストア インスタンスのコンテンツを管理します。VMware Authentication Framework Daemon (VMAFD) の一部です。 vecs-cli コマンド リファレンス
dir-cli VMware Directory Service に証明書を作成し更新します。VMAFD の一部です。 dir-cli コマンド リファレンス
sso-config Security Token Service (STS) 証明書を更新します。 コマンド ラインを使用した vCenter Server STS 証明書の置き換え
service-control サービスの起動、停止およびリストを表示するコマンド。 このコマンドを実行して、他の CLI コマンドを実行する前にサービスを停止します。

前提条件

vCenter Server への SSH ログインを有効にします。vCenter Server 管理インターフェイス (https://vcenter_server_ip:5480) の [アクセス設定] タブを使用して、SSH ログインの有効化や無効化を設定できます。

手順

  1. vCenter Server シェルにログインします。
    通常、root ユーザーまたは管理者ユーザーの権限が必要です。詳細については、 vSphere CLI の実行に必要な権限を参照してください。
  2. 次のいずれかのデフォルトの場所で、CLI にアクセスします。
    必要な権限は、実行するタスクによって異なります。機密情報を保護するために、パスワードの入力を 2 回求められる場合があります。
    /usr/lib/vmware-vmafd/bin/vecs-cli
    /usr/lib/vmware-vmafd/bin/dir-cli
    /usr/lib/vmware-vmca/bin/certool
    /opt/vmware/bin/sso-config.sh

    service-control コマンドでは、パスを指定する必要はありません。

    詳細については、『 手動での vSphere 証明書の置き換え』を参照してください。