デフォルトでは、Auto Deploy サーバは VMware Certificate Authority (VMCA) が署名した証明書を使用して各ホストをプロビジョニングします。VMCA が署名していないカスタム証明書を使用してすべてのホストをプロビジョニングするように、Auto Deploy サーバを設定できます。このシナリオでは、Auto Deploy サーバはサードパーティ認証局 (CA) の従属認証局になります。
前提条件
- 認証局に証明書を要求します。証明書は以下の要件を満たす必要があります。
- キー サイズ:2,048 ビット(最小)から 8,192 ビット(最大)(PEM エンコード)
- PEM 形式。VMware では、PKCS8 および PKCS1(RSA キー)がサポートされます。VECS に追加されたキーは、PKCS8 に変換されます。
- x509 バージョン 3
- ルート証明書の場合、認証局の拡張を true に設定する必要があり、証明書の署名を要件の一覧に含める必要があります。
- SubjectAltName には DNS Name=<machine_FQDN> が含まれている必要があります。
- CRT 形式
- キー使用法として、デジタル署名、キー暗号化が含まれている必要があります
- 1 日前の開始時刻。
- vCenter Server インベントリにある、ESXi ホストのホスト名(または IP アドレス)に設定された CN (および SubjectAltName)
注: vSphere の FIPS 証明書は、サイズが 2048 および 3072 の RSA キーのみを検証します。 FIPS を使用する場合の考慮事項を参照してください。 - 証明書ファイルに rbd-ca.crt、キー ファイルに rbd-ca.key という名前を付けます。
手順
結果
次回、Auto Deploy を使用するように設定されているホストをプロビジョニングすると、Auto Deploy サーバによって証明書が生成されます。Auto Deploy サーバでは、TRUSTED_ROOTS ストアに追加したルート証明書が使用されます。
注: 証明書の置き換え後に Auto Deploy で問題が発生した場合は、VMware ナレッジベースの記事 (
https://kb.vmware.com/s/article/2000988) を参照してください。