VMware Certificate Authority (VMCA) により、VMCA をデフォルトでルート認証局とする署名証明書を使用して、新しい各 ESXi ホストをプロビジョニングします。プロビジョニングは、ホストを vCenter Server に明示的に追加する場合に、または ESXi のインストールまたはアップグレードの一環として実行されます。

ESXi の証明書は、vSphere Client から、または vSphere Web Services SDK の vim.CertificateManager API を使用して、表示および管理することができます。vCenter Server の証明書の管理に使用可能な証明書管理 CLI を使用して ESXi の証明書を表示または管理することはできません。

vSphere 8.0 Update 3 以降では、ホストをメンテナンス モードにすることなく、また、ホストも個々のサービスも再起動することなく、ESXi 証明書を置き換えることができます。

証明書と証明書モード

ESXi および vCenter Server の通信では、ほとんどすべての管理トラフィックで TLS を使用します。

vCenter Server では、ESXi ホストに対して次の証明書および証明書モードがサポートされます。

表 1. ESXi ホストの証明書モード
証明書モード 説明
VMware 認証局(デフォルト) デフォルトでは、VMware Certificate Authority (VMCA) が ESXi ホスト証明書の認証局 (CA) として使用されます。デフォルトでは VMCA がルート CA ですが、別の CA への中間 CA として設定できます。[VMCA] モードでは、vSphere Client から証明書を更新することができます。これは、VMCA が従属証明書の場合も使用されます。
カスタム認証局 このモードは、サードパーティ CA またはエンタープライズ CA によって署名されたカスタム証明書のみを使用する場合に使用します。[カスタム] モードでは、ユーザーが証明書を管理する必要があります。vSphere 8.0 Update 3 以降では、vSphere Client からカスタム証明書を管理できます。
注: 証明書モードをカスタム認証局( [カスタム])に変更しない限り、VMCA により、たとえば vSphere Client[更新] を選択するときに、カスタム証明書が置き換えられる可能性があります。
サムプリント モード vSphere 5.5 では、[サムプリント] モードが使用されており、このモードは、vSphere 6.x のフォールバック オプションとして引き続き使用することができます。このモードの場合、vCenter Server は、証明書の形式が正しいかどうかチェックしますが、証明書の有効性はチェックしません。期限切れの証明書であっても受諾されます。

このモードは、他の 2 つのモードのいずれかによって解決できない問題が発生した場合以外は使用しないでください。vCenter Server 6.x 以降の一部のサービスは、サムプリント モードで正常に動作しない可能性があります。

別のタイプの証明書を使用するために証明書モードを変更するには、「ESXi 証明書モード切り替えワークフロー」と「ESXi 証明書モードの変更」を参照してください。

ESXi 証明書の有効期限

VMCA またはサードパーティ CA によって署名された証明書の証明書有効期限に関する情報を vSphere Client で表示することができます。vCenter Server が管理するすべてのホスト、または個別のホストに関する情報を表示できます。証明書が [間もなく期限切れ] 状態(8 か月未満)になっている場合は、黄色のアラームが表示されます。証明書が [期限切れ間近] 状態(2 か月未満)になっている場合は、赤のアラームが表示されます。

ESXi のプロビジョニングと証明書

インストール メディアから ESXi ホストを起動する場合、そのホストには初めに生成された証明書があります。ホストを vCenter Server システムに追加すると、vCenter Server では、ルート CA としての VMCA によって署名された証明書を使用してそのホストをプロビジョニングします。

サードパーティ CA またはエンタープライズ CA によって署名されたカスタム証明書を ESXi ホストに使用することもできます。

Auto Deploy での ESXi のプロビジョニングと証明書

このプロセスは、Auto Deploy でプロビジョニングされるホストの場合と同様です。ただし、それらのホストは状態を何も保存しないため、署名付き証明書は Auto Deploy サーバによってそのローカル証明書ストアに保存されます。その証明書は、ESXi ホストのその後の起動時に再使用されます。Auto Deploy サーバは、任意の組み込みデプロイまたは vCenter Server システムの一部です。

Auto Deploy ホストは、初めて起動するときに VMCA が使用可能になっていない場合、最初に接続を試みます。接続できない場合、VMCA が使用可能になって、署名付き証明書を使用してホストをプロビジョニングできるようになるまで、シャットダウンと再起動の動作を繰り返します。

Auto Deploy をサードパーティ認証局の従属認証局にすることができます。この場合、生成される証明書は Auto Deploy SSL キーで署名されます。Auto Deploy を従属認証局にするを参照してください。

ESXi 8.0 以降では、Auto Deploy でカスタム証明書(認証局によって署名された証明書)を使用できます。ホストが起動すると、Auto Deploy がカスタム証明書を ESXi ホストの MAC アドレスまたは BIOS UUID に関連付けます。Auto Deploy でのカスタム証明書の使用を参照してください。

ESXi の証明書管理に必要な権限

ユーザーが ESXi ホスト証明書を管理するには、証明書.証明書を管理 権限が必要です。

ESXi のホスト名と IP アドレスの変更

ESXi のホスト名または IP アドレスを変更すると、vCenter Server でホストの証明書が有効とみなされるかどうかに影響する場合があります。ESXi ホストを vCenter Server に追加したときの方法により、手動での介入が必要かどうかが決まります。手動での介入とは、ホストを再接続すること、つまり vCenter Server からホストを削除して再び追加することを意味します。

表 2. ホスト名または IP アドレスの変更により手動での介入が必要になる場合
ESXi ホストを vCenter Server に追加する方法 ESXi の ホスト名の変更 ESXi の IP アドレスの変更
ホスト名 vCenter Server の接続問題。手動での介入が必要。 介入不要。
IP アドレス 介入不要。 vCenter Server の接続問題。手動での介入が必要。