vSphere Client を使用して、デフォルトの証明書をカスタム証明書に置き換えることができます。

vSphere Client を使用して、各マシンの CSR を生成し、内部またはサードパーティの認証局 (CA) から証明書を受け取ったときに証明書を置き換えることができます。内部またはサードパーティの認証局に CSR を送信すると、認証局によって署名付き証明書およびルート証明書が返されます。vSphere Client から、ルート証明書と署名付き証明書の両方をアップロードできます。

vSphere Client(カスタム証明書)を使用したマシン SSL 証明書の証明書署名リクエストの生成

マシン SSL 証明書は、各 vCenter Server ノードでリバース プロキシ サービスによって使用されます。他のサービスとの安全な通信を実現するため、各マシンにマシン SSL 証明書が必要です。vSphere Client を使用すると、マシン SSL 証明書の証明書署名リクエスト (CSR) を生成し、準備が整ったら、証明書を置き換えることができます。

前提条件

証明書は次の要件を満たす必要があります。

  • キー サイズ:2,048 ビット(最小)から 8,192 ビット(最大)(PEM エンコード)。vSphere Client および API は、証明書署名リクエストの生成時に、引き続き最大 16,384 ビットのキー サイズを受け入れます。
  • CRT 形式
  • x509 バージョン 3
  • SubjectAltName には DNS Name=<machine_FQDN> が含まれている必要があります。
  • キー使用法として、デジタル署名、キー暗号化が含まれている必要があります
注: vSphere の FIPS 証明書は、2,048 ビットと 3,072 ビットの RSA キー サイズのみを検証します。

手順

  1. vSphere Client を使用して vCenter Server にログインします。
  2. [email protected] または vCenter Single Sign-On 管理者グループの別のメンバーのユーザー名とパスワードを指定します。
    インストール時に異なるドメインを指定した場合は、administrator@ mydomain としてログインします。
  3. [証明書の管理] ユーザー インターフェイスに移動します。
    1. [ホーム] メニューから [管理] を選択します。
    2. [証明書] で、[証明書の管理] をクリックします。
  4. vCenter Server の認証情報を入力します。
  5. CSR を生成します。
    1. [マシン SSL] タブで目的の証明書を選択し、[証明書署名要求 (CSR) の生成] をクリックします。
    2. 証明書情報を入力し、[次へ] をクリックします。
      キー サイズのデフォルト値は 2,048 ビットです。この値は必要に応じて変更してください。
      注: vCenter Server を使用してキー サイズの大きい CSR を生成する場合、この処理は CPU への負荷が大きいため、生成までに数分かかります。
    3. CSR をコピーまたはダウンロードします。
    4. [終了] をクリックします。
    5. 認証局に CSR を提供します。

次のタスク

認証局から証明書が返されたら、証明書ストアにある既存の証明書を置き換えます。vSphere Client を使用したカスタム証明書の追加を参照してください。

vSphere Client を使用した証明書ストアへの信頼できるルート証明書の追加

環境内でサードパーティ証明書を使用する場合は、信頼できるルート証明書を証明書ストアに追加する必要があります。これは、vSphere Client を使用して実行できます。

前提条件

サードパーティまたは内部の認証局 (CA) からカスタム ルート証明書を取得します。

vSphere は、インポートに有効な CA 証明書のみを受け入れます。CA 証明書を有効にするには、基本制約とキー使用法 X.509 v3 証明書拡張で CA ビットと keyCertSign ビットをそれぞれ設定する必要があります。これは、証明書が CA であり、その目的が証明書署名であることを意味します。詳細については、https://www.rfc-editor.org/rfc/rfc5280 を参照してください。

チェーン内のすべての証明書について keyCertSign ビットが設定されていることを確認します。

手順

  1. vSphere Client を使用して vCenter Server にログインします。
  2. [email protected] または vCenter Single Sign-On 管理者グループの別のメンバーのユーザー名とパスワードを指定します。
    インストール時に異なるドメインを指定した場合は、administrator@ mydomain としてログインします。
  3. [証明書の管理] ユーザー インターフェイスに移動します。
    1. [ホーム] メニューから [管理] を選択します。
    2. [証明書] で、[証明書の管理] をクリックします。
  4. vCenter Server の認証情報の入力を求めるメッセージが表示されたら、この情報を入力します。
  5. [信頼されたルート] タブで、[信頼できるルート証明書の追加] をクリックします。
  6. [参照] をクリックし、証明書チェーンの配置場所を選択します。
    CER、PEM、または CRT の各ファイル タイプを使用できます。
  7. [追加] をクリックします。
    証明書がストアに追加されます。
    注: vSphere 8.0 Update 2 以降では、 [vCenter Server ホストへのルート証明書のプッシュの開始] チェック ボックスが削除されます。証明書が追加されると、 vCenter Server によって、インベントリ内の接続されているすべてのホストにルート証明書がプッシュされます。 vCenter Server とは異なるルート証明書を持つホストが接続されると、この違いを修正するために、 vCenter Server によってルート証明書がプッシュされます。この場合、ホスト上のルート証明書は vCenter Server のルート証明書で上書きされるので、インベントリ全体で必要なカスタム ルート証明書があれば、管理者は vCenter Server に対して確実に追加することができます。

vSphere Client を使用したカスタム証明書の追加

vSphere Client を使用して、証明書ストアにカスタム マシン SSL 証明書を追加できます。

通常は、各コンポーネントのマシン SSL 証明書を置き換えるだけで十分です。

前提条件

置き換える各証明書の証明書署名要求 (CSR) を生成します。vSphere Client(カスタム証明書)を使用したマシン SSL 証明書の証明書署名リクエストの生成を参照してください。vCenter Server がアクセスできる場所に証明書およびプライベート キーを格納します。

手順

  1. vSphere Client を使用して vCenter Server にログインします。
  2. [email protected] または vCenter Single Sign-On 管理者グループの別のメンバーのユーザー名とパスワードを指定します。
    インストール時に異なるドメインを指定した場合は、administrator@ mydomain としてログインします。
  3. [証明書の管理] ユーザー インターフェイスに移動します。
    1. [ホーム] メニューから [管理] を選択します。
    2. [証明書] で、[証明書の管理] をクリックします。
  4. vCenter Server の認証情報の入力を求めるメッセージが表示されたら、この情報を入力します。
  5. [マシン SSL] タブで証明書を選択し、[証明書をインポートして置き換え] をクリックします。
  6. 該当する証明書の置き換えのオプションをクリックし、[次へ] をクリックします。
    オプション 説明
    VMCA 証明書に置き換え VMCA で生成された CSR を作成して、現在の証明書を置き換えます。
    vCenter Server から CSR が生成される外部 CA 証明書に置き換え(プライベート キーは組み込み) vCenter Server で生成された CSR を使用して署名された証明書を使用して、現在の証明書を置き換えます。
    外部 CA 証明書に置き換え(プライベート キーが必要) 外部 CA によって署名された証明書を使用して、現在の証明書を置き換えます。
  7. CSR 情報を入力するか、該当する証明書をアップロードします。
  8. チェックボックスをクリックして、vCenter Server とそのデータベースをバックアップしたことを確認します。
  9. 情報を確認し、[終了] をクリックします。
    証明書が置き換えられ、成功メッセージが表示されます。
  10. 証明書が変更されたというメッセージが表示されたら、[更新] をクリックしてブラウザ画面を更新します。

VMCA リーフ証明書の生成

VMware インフラストラクチャで使用するために、VMware Certificate Authority (VMCA) によって署名されたリーフ証明書を生成できます。

VMware Certificate Authority (VMCA) は、すべての証明書管理を処理することに加え、リーフ証明書を生成することもできます。リーフ証明書は VMCA によって署名され、他の VMware リソースを識別するために使用されます。VMCA によって生成されたリーフ証明書は VECS には保存されません。また、vCenter Server はこれらのリーフ証明書の有効期限を追跡しません。

前提条件

リーフ証明書をインストールする VMware インフラストラクチャ内のホストで証明書署名リクエスト (CSR) を生成します。

手順

  1. vSphere Client を使用して vCenter Server にログインします。
  2. [email protected] または vCenter Single Sign-On 管理者グループの別のメンバーのユーザー名とパスワードを指定します。
    インストール時に異なるドメインを指定した場合は、administrator@ mydomain としてログインします。
  3. [証明書の管理] ユーザー インターフェイスに移動します。
    1. [ホーム] メニューから [管理] を選択します。
    2. [証明書] で、[証明書の管理] をクリックします。
  4. vCenter Server の認証情報の入力を求めるメッセージが表示されたら、この情報を入力します。
  5. [信頼できるルート] タブで VMCA ルート証明書を選択し、[新しいリーフ証明書の発行] をクリックします。
  6. 以前に生成した CSR を参照し、期間を指定して、[次へ] をクリックします。
  7. [証明書のダウンロード] をクリックしてリーフ証明書とルート証明書を保存します。

結果

リーフ証明書とルート証明書が生成され、指定した場所にダウンロードされます。

次のタスク

リーフ証明書とルート証明書を VMware インフラストラクチャ内のターゲット ホストにインポートします。