異なるソリューションパスに対する vSphere 証明書の要件

証明書の要件は、VMware 認証局 (VMCA) を中間認証局として使用するか、カスタム証明書を使用するかによって異なります。マシン証明書の要件も異なります。

証明書の変更を開始する前に、vSphere 環境内のすべてのノードの時刻が確実に同期されるようにします。

注： vSphere は、サーバ認証に RSA 証明書のみをデプロイし、ECDSA 証明書の生成をサポートしません。 vSphere は、他のサーバによって提示された ECDSA 証明書を検証します。たとえば、 vSphere が Syslog サーバに接続していて、Syslog サーバに ECDSA 証明書がある場合、vSphere はその証明書の検証をサポートします。

すべてのインポートされた vSphere 証明書の要件

キーサイズ：2,048 ビット（最小）から 8,192 ビット（最大）（PEM エンコード）。vSphere Client および API は、証明書署名リクエストの生成時に、引き続き最大 16,384 ビットのキーサイズを受け入れます。
注： vSphere 8.0 では、 vSphere Client または vSphere Certificate Manager を使用する場合、最小キー長が 3,072 ビットの CSR のみ生成できます。 vCenter Server は、キーの長さが 2,048 ビットのカスタム証明書を引き続き受け入れます。vSphere 8.0 Update 1 以降では、 vSphere Client を使用して、キーの長さが 2,048 ビットの CSR を生成できます。

注： vSphere の FIPS 証明書は、2,048 ビットと 3,072 ビットの RSA キーサイズのみを検証します。
PEM 形式。VMware では、PKCS8 および PKCS1（RSA キー）がサポートされます。VECS に追加したキーは、PKCS8 に変換されます。
x509 バージョン 3
SubjectAltName には DNS Name=machine_FQDN が含まれている必要があります。
CRT 形式
キー使用法として、デジタル署名、キー暗号化が含まれている必要があります。
vpxd-extension ソリューションユーザーの証明書を除外して、[拡張キー使用] を空にするか、[サーバ認証] を含めることができます。

vSphere は、次の証明書をサポートしていません。

ワイルドカードによる証明書。
アルゴリズム md2WithRSAEncryption、md5WithRSAEncryption、RSASSA-PSS、dsaWithSHA1、ecdsa_with_SHA1、sha1WithRSAEncryption はサポートされていません。
vCenter Server 用のカスタムマシン SSL 証明書を作成する場合、サーバ認証とクライアント認証はサポートされません。Microsoft 認証局 (CA) テンプレートを使用する場合は、これらの認証を削除する必要があります。詳細については、VMware ナレッジベースの記事 (https://kb.vmware.com/s/article/2112009) を参照してください。

RFC 2253 に対する vSphere 証明書のコンプライアンス

証明書は、RFC 2253 に準拠している必要があります。

CSR の生成に vSphere Certificate Manager を使用しない場合は、CSR に次のフィールドが確実に含まれるようにします。

文字列	X.500 属性のタイプ
CN	commonName
L	localityName
ST	stateOrProvinceName
O	organizationName
OU	organizationalUnitName
C	countryName
STREET	streetAddress
DC	domainComponent
UID	userid

CSR の生成に vSphere Certificate Manager を使用する場合は、次の情報を指定するように求められ、vSphere Certificate Manager によって CSR ファイルに対応するフィールドが追加されます。

[email protected] ユーザー、つまり接続している vCenter Single Sign-On ドメインの管理者のパスワード。
vSphere Certificate Manager によって certool.cfg ファイルに保存される情報。ほとんどのフィールドで、デフォルト値を受け入れたり、サイト固有の値を指定したりできます。マシンの FQDN が必要です。
- [email protected] のパスワード
- 2 文字の国名コード
- 会社名
- 組織名
- 部門名
- 都道府県
- 市区町村
- IP アドレス（オプション）
- E メール
- ホスト名、すなわち証明書を置き換えるマシンの完全修飾ドメイン名 (FQDN)「ホスト名が FQDN と一致しない場合、証明書の置き換えは正しく完了せず、環境が不安定な状態になる可能性があります。
- vSphere Certificate Manager を実行する vCenter Server ノードの IP アドレス。

注： OU (organizationalUnitName) フィールドは必須ではなくなりました。

VMCA を中間認証局として使用する場合の証明書の要件

VMCA を中間 CA として使用する場合、証明書は、次の要件を満たす必要があります。


証明書タイプ	証明書の要件
ルート証明書	CSR は vSphere Certificate Manager を使用して作成できます。Certificate Manager を使用した CSR の生成とルート証明書（中間 CA）の用意を参照してください。 CSR を手動で作成する場合、署名のために送付する証明書は以下の要件を満たしている必要があります。キーサイズ：2,048 ビット（最小）から 8,192 ビット（最大）（PEM エンコード） PEM 形式。VMware では、PKCS8 および PKCS1（RSA キー）がサポートされます。VECS に追加されたキーは、PKCS8 に変換されます。 x509 バージョン 3 ルート証明書に対しては、認証局の拡張を true に設定する必要があり、証明書の署名を要件の一覧に含める必要があります。例： basicConstraints = critical,CA:true keyUsage = critical,digitalSignature,keyCertSign CRL の署名は有効にしてください。 [拡張キー使用] は、空にするか、[サーバ認証] を指定します。証明書チェーンの長さに明示的な制限はありません。VMware 認証局 (VMCA) では、デフォルトで OpenSSL が使用されます。この場合、10 個の証明書となります。ワイルドカードまたは複数の DNS 名を使用した証明書はサポートされていません。 VMCA の従属認証局は作成できません。 Microsoft 認証局の使用例については、VMware ナレッジベースの記事「Creating a Microsoft Certificate Authority Template for SSL certificate creation in vSphere 6.x」(https://kb.vmware.com/s/article/2112009) を参照してください。
マシン SSL 証明書	vSphere Certificate Manager を使用して CSR を作成するか、手動で CSR を作成することができます。 CSR を手動で作成する場合は、上記の「すべてのインポートされた vSphere 証明書の要件」に記載されている要件を満たす必要があります。ホストの FQDN を指定する必要もあります。
ソリューションユーザー証明書	vSphere Certificate Manager を使用して CSR を作成するか、手動で CSR を作成することができます。注：各ソリューションユーザーの名前には異なる値を使用する必要があります。証明書を手動で生成する場合、使用するツールに応じて、 [サブジェクト] の [CN] として表示される可能性があります。 vSphere Certificate Manager を使用する場合、各ソリューションユーザーの証明書情報を求められます。vSphere Certificate Manager によって、certool.cfg に情報が保存されます。 vpxd-extension ソリューションユーザーの場合は、[拡張キー使用] を空のままにするか、「TLS WWW クライアント認証」を使用できます。

カスタム証明書を使用する場合の要件

カスタム証明書を使用する場合、証明書は次の要件を満たす必要があります。


証明書タイプ	証明書の要件
マシン SSL 証明書	各ノード上のマシン SSL 証明書には、サードパーティまたはエンタープライズ CA からの個別の証明書が必要です。 vSphere Client または vSphere Certificate Manager を使用して CSR を生成することも、手動で CSR を作成することもできます。CSR は、上記の「すべてのインポートされた vSphere 証明書の要件」に記載されている要件を満たす必要があります。ほとんどのフィールドで、デフォルト値を受け入れたり、サイト固有の値を指定したりできます。マシンの FQDN が必要です。
ソリューションユーザー証明書	各ノード上の各ソリューションユーザーには、サードパーティまたはエンタープライズ CA からの個別の証明書が必要です。 CSR は、vSphere Certificate Manager を使用して生成することも、CSR を自分で準備することもできます。CSR は、上記の「すべてのインポートされた vSphere 証明書の要件」に記載されている要件を満たす必要があります。 vSphere Certificate Manager を使用する場合、各ソリューションユーザーの証明書情報を求められます。vSphere Certificate Manager によって、certool.cfg に情報が保存されます。注：各ソリューションユーザーの名前には異なる値を使用する必要があります。手動で生成された証明書は、使用するツールに応じて、 [サブジェクト] の [CN] として表示される可能性があります。後でソリューションユーザー証明書をカスタム証明書と置き換える場合、サードパーティの CA の署名証明書チェーンすべてを指定します。 vpxd-extension ソリューションユーザーの場合は、[拡張キー使用] を空のままにするか、「TLS WWW クライアント認証」を使用できます。