企業ポリシーで規定されている場合は、CLI を使用して、vSphere で使用されている一部または全部の証明書を、サードパーティまたはエンタープライズ認証局 (CA) によって署名された証明書で置き換えることができます。これを行った場合、VMware 認証局 (VMCA) は証明書チェーンには含まれなくなります。すべての vCenter Server 証明書を VECS に格納する必要があります。
カスタム証明書を使用する場合でも、VMware Certificate Manager ユーティリティを使用して証明書を置き換えることができます。Certificate Manager を使用したすべての証明書のカスタム証明書への置き換えを参照してください。
証明書の置き換え後に vSphere Auto Deploy で問題が発生した場合は、VMware ナレッジベースの記事 (https://kb.vmware.com/s/article/2000988) を参照してください。
CLI を使用した証明書の要求およびカスタム ルート証明書のインポート
エンタープライズまたはサードパーティ認証局 (CA) からのカスタム証明書を使用できます。最初の手順は、認証局に証明書を要求し、次に CLI を使用してルート証明書を VMware Endpoint Certificate Store (VECS) にインポートすることです。
前提条件
証明書は次の要件を満たす必要があります。
- キー サイズ:2,048 ビット(最小)から 8,192 ビット(最大)(PEM エンコード)
- PEM 形式。VMware では、PKCS8 および PKCS1(RSA キー)がサポートされます。VECS に追加されたキーは、PKCS8 に変換されます。
- x509 バージョン 3
- ルート証明書の場合、認証局の拡張を true に設定する必要があり、証明書の署名を要件の一覧に含める必要があります。
- SubjectAltName には DNS Name=<machine_FQDN> が含まれている必要があります。
- CRT 形式
- キー使用法として、デジタル署名、キー暗号化が含まれている必要があります
- 1 日前の開始時刻。
- vCenter Server インベントリにある、ESXi ホストのホスト名(または IP アドレス)に設定された CN (および SubjectAltName)
手順
次のタスク
元の VMCA ルート証明書は証明書ストアから削除できます(会社のポリシーで求められている場合)。その場合、vCenter Single Sign-On 証明書を更新する必要があります。コマンド ラインを使用した vCenter Server STS 証明書の置き換えを参照してください。
CLI を使用したマシン SSL 証明書のカスタム証明書への置き換え
カスタム証明書を取得したら、CLI を使用して各マシン証明書を置き換えることができます。
- [email protected] のパスワード
- 有効なマシン SSL カスタム証明書(.crt ファイル)
- 有効なマシン SSL カスタム キー(.key ファイル)
- ルートの有効なカスタム証明書(.crt ファイル)
前提条件
サードパーティまたはエンタープライズ CA から各マシンの証明書を取得している必要があります。
- キー サイズ:2,048 ビット(最小)から 8,192 ビット(最大)(PEM エンコード)
- CRT 形式
- x509 バージョン 3
- SubjectAltName には DNS Name=<machine_FQDN> が含まれている必要があります。
- キー使用法として、デジタル署名、キー暗号化が含まれている必要があります
各 vCenter Server ホストで手順を実行します。