vSphere Client を使用して、デフォルトの証明書をカスタム証明書に置き換えることができます。

vSphere Client を使用して、各マシンの CSR を生成し、内部またはサードパーティの認証局 (CA) から証明書を受け取ったときに証明書を置き換えることができます。内部またはサードパーティの認証局に CSR を送信すると、認証局によって署名付き証明書およびルート証明書が返されます。vSphere Client から、ルート証明書と署名付き証明書の両方をアップロードできます。

vSphere Client(カスタム証明書)を使用したマシン SSL 証明書の証明書署名リクエストの生成

マシン SSL 証明書は、各 vCenter Server ノードでリバース プロキシ サービスによって使用されます。他のサービスとの安全な通信を実現するため、各マシンにマシン SSL 証明書が必要です。vSphere Client を使用すると、マシン SSL 証明書の証明書署名リクエスト (CSR) を生成し、準備が整ったら、証明書を置き換えることができます。

前提条件

証明書は次の要件を満たす必要があります。

  • キー サイズ:2,048 ビット(最小)から 16,384 ビット(最大)(PEM エンコード)
  • CRT 形式
  • x509 バージョン 3
  • SubjectAltName には DNS Name=<machine_FQDN> が含まれている必要があります。
  • キー使用法として、デジタル署名、キー暗号化が含まれている必要があります

手順

  1. vSphere Client を使用して vCenter Server にログインします。
  2. administrator@vsphere.local または vCenter Single Sign-On 管理者グループの別のメンバーのユーザー名とパスワードを指定します。
    インストール時に異なるドメインを指定した場合は、administrator@ mydomain としてログインします。
  3. [証明書の管理] ユーザー インターフェイスに移動します。
    1. [ホーム] メニューから [管理] を選択します。
    2. [証明書] で、[証明書の管理] をクリックします。
  4. vCenter Server の認証情報を入力します。
  5. CSR を生成します。
    1. [マシン SSL 証明書] タイルで、[アクション] > [証明書の署名要求 (CSR) の生成] の順にクリックします。
    2. 証明書情報を入力し、[次へ] をクリックします。
      vSphere 8.0 以降では、キー サイズのデフォルト値は 3,072(ビット)です。 vSphere Client を使用して CSR を生成する場合、2,048 はサポートされなくなりました。 vCenter Server は、キーの長さが 2,048 ビットのカスタム証明書を引き続き受け入れます。ただし、vSphere 8.0 以降では、最小キー長が 3,072 ビットの vSphere Client を使用した場合にのみ CSR を生成できます。
      注: vCenter Server を使用して 16,384 ビットのキー サイズを持つ CSR を生成する場合、この処理は CPU への負荷が大きいため、生成までに数分かかります。
    3. CSR をコピーまたはダウンロードします。
    4. [終了] をクリックします。
    5. 認証局に CSR を提供します。

次のタスク

認証局から証明書が返されたら、証明書ストアにある既存の証明書を置き換えます。vSphere Client を使用したカスタム証明書の追加を参照してください。

vSphere Client を使用した証明書ストアへの信頼できるルート証明書の追加

環境内でサードパーティ証明書を使用する場合は、信頼できるルート証明書を証明書ストアに追加する必要があります。これは、vSphere Client を使用して実行できます。

前提条件

サードパーティまたは内部の認証局 (CA) からカスタム ルート証明書を取得します。

vSphere は、インポートに有効な CA 証明書のみを受け入れます。CA 証明書を有効にするには、基本制約とキー使用法 X.509 v3 証明書拡張で CA ビットと keyCertSign ビットをそれぞれ設定する必要があります。これは、証明書が CA であり、その目的が証明書署名であることを意味します。詳細については、https://www.rfc-editor.org/rfc/rfc5280 を参照してください。

手順

  1. vSphere Client を使用して vCenter Server にログインします。
  2. administrator@vsphere.local または vCenter Single Sign-On 管理者グループの別のメンバーのユーザー名とパスワードを指定します。
    インストール時に異なるドメインを指定した場合は、administrator@ mydomain としてログインします。
  3. [証明書の管理] ユーザー インターフェイスに移動します。
    1. [ホーム] メニューから [管理] を選択します。
    2. [証明書] で、[証明書の管理] をクリックします。
  4. vCenter Server の認証情報の入力を求めるメッセージが表示されたら、この情報を入力します。
  5. [信頼できるルート証明書][追加] をクリックします。
  6. [参照] をクリックし、証明書チェーンの配置場所を選択します。
    CER、PEM、または CRT の各ファイル タイプを使用できます。
  7. [追加] をクリックします。
    証明書がストアに追加されます。

vSphere Client を使用したカスタム証明書の追加

vSphere Client を使用して、証明書ストアにカスタム マシン SSL 証明書を追加できます。

通常は、各コンポーネントのマシン SSL 証明書を置き換えるだけで十分です。

前提条件

置き換える各証明書の証明書署名要求 (CSR) を生成します。vSphere Client(カスタム証明書)を使用したマシン SSL 証明書の証明書署名リクエストの生成を参照してください。vCenter Server がアクセスできる場所に証明書およびプライベート キーを格納します。

手順

  1. vSphere Client を使用して vCenter Server にログインします。
  2. administrator@vsphere.local または vCenter Single Sign-On 管理者グループの別のメンバーのユーザー名とパスワードを指定します。
    インストール時に異なるドメインを指定した場合は、administrator@ mydomain としてログインします。
  3. [証明書の管理] ユーザー インターフェイスに移動します。
    1. [ホーム] メニューから [管理] を選択します。
    2. [証明書] で、[証明書の管理] をクリックします。
  4. vCenter Server の認証情報の入力を求めるメッセージが表示されたら、この情報を入力します。
  5. [マシン SSL 証明書] タイルで、[アクション] > [証明書のインポートと置き換え] の順にクリックします。
  6. 該当する証明書の置き換えのオプションをクリックし、[次へ] をクリックします。
    オプション 説明
    VMCA に置き換え VMCA で生成された CSR を作成して、現在の証明書を置き換えます。
    vCenter Server で生成された証明書に置き換え vCenter Server で生成された CSR を使用して署名された証明書を使用して、現在の証明書を置き換えます。
    外部 CA 証明書に置き換え(プライベート キーが必要) 外部 CA によって署名された証明書を使用して、現在の証明書を置き換えます。
  7. CSR 情報を入力するか、該当する証明書をアップロードします。
  8. [置き換え] をクリックします。
    vCenter Server サービスは自動的に再起動します。