Auto Deploy を従属認証局にする

デフォルトでは、Auto Deploy サーバは VMware Certificate Authority (VMCA) が署名した証明書を使用して各ホストをプロビジョニングします。VMCA が署名していないカスタム証明書を使用してすべてのホストをプロビジョニングするように、Auto Deploy サーバを設定できます。このシナリオでは、Auto Deploy サーバはサードパーティ認証局 (CA) の従属認証局になります。

前提条件

認証局に証明書を要求します。証明書は以下の要件を満たす必要があります。
- キーサイズ：2,048 ビット（最小）から 8,192 ビット（最大）（PEM エンコード）
- PEM 形式。VMware では、PKCS8 および PKCS1（RSA キー）がサポートされます。VECS に追加されたキーは、PKCS8 に変換されます。
- x509 バージョン 3
- ルート証明書の場合、認証局の拡張を true に設定する必要があり、証明書の署名を要件の一覧に含める必要があります。
- SubjectAltName には DNS Name=<machine_FQDN> が含まれている必要があります。
- CRT 形式
- キー使用法として、デジタル署名、キー暗号化が含まれている必要があります
- 1 日前の開始時刻。
- vCenter Server インベントリにある、ESXi ホストのホスト名（または IP アドレス）に設定された CN （および SubjectAltName）
注： vSphere の FIPS 証明書は、サイズが 2048 および 3072 の RSA キーのみを検証します。 FIPS を使用する場合の考慮事項を参照してください。
証明書ファイルに rbd-ca.crt、キーファイルに rbd-ca.key という名前を付けます。

手順

デフォルトの ESXi 証明書をバックアップします。
証明書は /etc/vmware-rbd/ssl/ ディレクトリ内にあります。

vSphere Authentication Proxy サービスを停止します。

ツール	手順
vCenter Server 管理インターフェイス	Web ブラウザで、vCenter Server 管理インターフェイス (https://`vcenter-IP-address-or-FQDN`:5480) に移動します。 root としてログインします。デフォルトの root パスワードは、vCenter Server のデプロイ時に設定したパスワードです。 [サービス] をクリックし、[VMware vSphere Authentication Proxy] をクリックします。 [停止] をクリックします。
CLI	service-control --stop vmcam

ツール

手順

vCenter Server 管理インターフェイス

Web ブラウザで、vCenter Server 管理インターフェイス (https://vcenter-IP-address-or-FQDN:5480) に移動します。
root としてログインします。
デフォルトの root パスワードは、vCenter Server のデプロイ時に設定したパスワードです。
[サービス] をクリックし、[VMware vSphere Authentication Proxy] をクリックします。
[停止] をクリックします。

CLI

service-control --stop vmcam

Auto Deploy サービスが動作しているシステムで、/etc/vmware-rbd/ssl/ 内の rbd-ca.crt と rbd-ca.key を、カスタム証明書とキーのファイルに置換します。
Auto Deploy サービスが稼動しているシステムで次のコマンドを実行し、新しい証明書を使用するように VMware Endpoint Certificate Store (VECS) 内の TRUSTED_ROOTS ストアを更新します。
```
/usr/lib/vmware-vmafd/bin/dir-cli trustedcert publish --cert /etc/vmware-rbd/ssl/rbd-ca.crt
/usr/lib/vmware-vmafd/bin/vecs-cli force-refresh
```
TRUSTED_ROOTS ストアの内容を含む castore.pem ファイルを作成して、そのファイルを /etc/vmware-rbd/ssl/ ディレクトリに格納します。
カスタムモードでは、このファイルの保守が必要になります。
vCenter Server システムの ESXi 証明書モードを custom に変更します。
ESXi 証明書モードの変更を参照してください。
vCenter Server サービスを再開し、Auto Deploy サービスを開始します。

結果

次回、Auto Deploy を使用するように設定されているホストをプロビジョニングすると、Auto Deploy サーバによって証明書が生成されます。Auto Deploy サーバでは、TRUSTED_ROOTS ストアに追加したルート証明書が使用されます。

注：証明書の置き換え後に Auto Deploy で問題が発生した場合は、VMware ナレッジベースの記事 ( https://kb.vmware.com/s/article/2000988) を参照してください。