信頼を確立するには、vSphere 信頼機関クラスタは信頼済みクラスタの ESXi ホストおよびvCenter Server に関する情報を必要とします。この情報をファイルとしてエクスポートし、信頼機関クラスタにインポートします。これらのファイルは、その機密を確実に保持し、安全な状態で転送してください。

信頼するソフトウェアとハードウェアを把握するために vSphere 信頼機関PowerCLI コマンドレットを使用して、信頼機関クラスタの信頼済みクラスタの ESXi ホストから次の情報をファイルとしてエクスポートします。

  • ESXiのバージョン
  • TPM のメーカー(CA 証明書)
  • (オプション)個々の TPM(EK 証明書)
注: エクスポートされたこれらのファイルは、 vSphere 信頼機関構成をリストアする必要が発生した場合に備えて安全な場所に保管します。

タイプとベンダーが同一で、かつ同じ時間枠と場所で製造された複数のホストについては、1 つの TPM の CA 証明書を取得するだけですべての TPM を信頼できることがあります。TPM を個別に信頼するには、その TPM の EK 証明書を取得します。

また、信頼済みクラスタのvCenter Serverからプリンシパル情報を取得する必要があります。プリンシパル情報には、vpxd ソリューション ユーザーとその証明書チェーンが含まれています。プリンシパル情報を使用すると、信頼済みクラスタの vCenter Serverは、信頼機関クラスタで設定されている利用可能な信頼済みキー プロバイダを検出できるようになります。

vSphere 信頼機関を最初に設定するときは、ESXi のバージョンと TPM 情報を収集する必要があります。また、パッチをアップグレードまたは適用する場合を含め、ESXiの新しいバージョンを展開するたびに ESXi のバージョンを収集する必要があります。

vCenter Serverのプリンシパル情報は、vCenter Server システムごとに 1 回のみ収集されます。

前提条件

  • 信頼済みクラスタ内にある ESXiのバージョンおよび TPM ハードウェアのタイプを特定し、すべての TPM ハードウェア タイプ、特定のホストのみ、個々のホストのいずれを信頼するかを指定します。
  • PowerCLI cmdlet を実行するマシンで、ファイルとしてエクスポートした情報を保存するローカル フォルダを作成します。
  • 信頼機関管理者の有効化
  • 信頼機関の状態の有効化

手順

  1. PowerCLI セッションで以下のコマンドを実行して、現在の接続を切断し、信頼済みクラスタ内の ESXiホストの 1 台に root ユーザーとして接続します。
    Disconnect-VIServer -server * -Confirm:$false
    Connect-VIServer -server host_ip_address -User root -Password 'password'
  2. Get-VMHostコマンドレットを実行して、ESXi ホストを確認します。
    Get-VMHost
    ホスト情報が表示されます。
  3. Get-VMHostを変数に割り当てます。
    例:
    $vmhost = Get-VMHost
  4. Export-Tpm2CACertificateコマンドレットを実行して、特定の TPM メーカーの CA 証明書をエクスポートします。
    1. Get-Tpm2EndorsementKey -VMHost $vmhostを変数に割り当てます。
      たとえば、このコマンドは、 Get-Tpm2EndorsementKey -VMHost $vmhostを変数 $tpm2 に割り当てます。
      $tpm2 = Get-Tpm2EndorsementKey -VMHost $vmhost
    2. Export-Tpm2CACertificateコマンドレットを実行します。
      たとえば、このコマンドは、TPM 証明書を cacert.zip ファイルにエクスポートします。このコマンドを実行する前に、宛先ディレクトリが存在することを確認します。
      Export-Tpm2CACertificate -Tpm2EndorsementKey $tpm2 -FilePath C:\vta\cacert.zip
      ファイルが作成されます。
    3. 信頼するクラスタ内の各 TPM ハードウェア タイプに対して繰り返します。TMP ハードウェアタイプごとに異なるファイル名を使用して、以前にエクスポートしたファイルを上書きしないようにします。
  5. Export-VMHostImageDbコマンドレットを実行して、ESXi ホストのソフトウェアの説明(ESXi イメージ)をエクスポートします。
    たとえば、このコマンドは、情報を image.tgz ファイルにエクスポートします。このコマンドを実行する前に、宛先ディレクトリが存在することを確認します。
    Export-VMHostImageDb -VMHost $vmhost -FilePath C:\vta\image.tgz
    注: Export-VMHostImageDbコマンドレットは、信頼済みクラスタの vCenter Server にログインする場合にも機能します。
    ファイルが作成されます。

    信頼するクラスタ内の各ESXiバージョンに対して繰り返します。バージョンごとに異なるファイル名を使用して、以前にエクスポートしたファイルを上書きしないようにします。

  6. 信頼済みクラスタの vCenter Serverプリンシパル情報をエクスポートします。
    1. ESXiホストとの接続を切断します。
      Disconnect-VIServer -server * -Confirm:$false
    2. 信頼機関の管理者ユーザーを使用して、信頼済みクラスタのvCenter Serverに接続します。(または、管理者権限を持つユーザーを使用することもできます。)
      Connect-VIServer -server TrustedCluster_VC_ip_address -User trust_admin_user -Password 'password'
    3. 信頼済みクラスタの vCenter Serverプリンシパル情報をエクスポートするには、Export-TrustedPrincipal コマンドレットを実行します。
      たとえば、このコマンドは、 principal.json ファイルに情報をエクスポートします。このコマンドを実行する前に、宛先ディレクトリが存在することを確認します。
      Export-TrustedPrincipal -FilePath C:\vta\principal.json
      ファイルが作成されます。
  7. (オプション) ホストを個別に信頼するには、TPM EK パブリック キー証明書をエクスポートする必要があります。

結果

次のファイルが作成されます。

  • TPM CA 証明書ファイル(.zip ファイル拡張子)
  • ESXiイメージ ファイル(.tgz ファイル拡張子)
  • vCenter Serverプリンシパル ファイル(.json ファイル拡張子)

例: 信頼する ESXiホストおよび vCenter Server に関する情報の収集

この例では、PowerCLI を使用して信頼済みクラスタから ESXiホスト情報およびvCenter Server プリンシパルをエクスポートする方法を示します。次の表に、使用されるコンポーネントと値の例を示します。

表 1. vSphere 信頼機関セットアップの例
コンポーネント
信頼済みクラスタ内の ESXiホスト 192.168.110.51
信頼済みクラスタの vCenter Server 192.168.110.22
変数 $vmhost Get-VMHost
変数 $tpm2 Get-Tpm2EndorsementKey -VMHost $vmhost
信頼機関管理者 trustedadmin@vsphere.local
出力ファイルを格納するローカル ディレクトリ C:\vta
PS C:\Users\Administrator.CORP> Connect-VIServer -server 192.168.110.51 -User root -Password 'VMware1!'

Name                           Port  User
----                           ----  ----
192.168.110.51                  443  root

PS C:\Users\Administrator.CORP> Get-VMHost

Name               ConnectionState PowerState NumCpu CpuUsageMhz CpuTotalMhz MemoryUsageGB MemoryTotalGB Version
----               --------------- ---------- ------ ----------- ----------- ------------- ------------- -------
192.168.110.51     Connected       PoweredOn       4         200        9576         1.614         7.999   7.0.0

PS C:\Users\Administrator.CORP> $vmhost = Get-VMHost
PS C:\Users\Administrator.CORP> $tpm2 = Get-Tpm2EndorsementKey -VMHost $vmhost
PS C:\> Export-Tpm2CACertificate -Tpm2EndorsementKey $tpm2 -FilePath C:\vta\cacert.zip

Mode                LastWriteTime         Length Name
----                -------------         ------ ----
-a----        10/8/2019   6:55 PM           1004 cacert.zip

PS C:\Users\Administrator.CORP> Export-VMHostImageDb -VMHost $vmhost -FilePath C:\vta\image.tgz

Mode                LastWriteTime         Length Name
----                -------------         ------ ----
-a----         10/8/2019  11:02 PM          2391 image.tgz

PS C:\Users\Administrator.CORP> Disconnect-VIServer -server * -Confirm:$false
PS C:\Users\Administrator.CORP> Connect-VIServer -server 192.168.110.22 -User trustedadmin@vsphere.local -Password 'VMware1!'

Name                           Port  User
----                           ----  ----
192.168.110.22                  443  VSPHERE.LOCAL\trustedadmin

PS C:\Users\Administrator.CORP> Export-TrustedPrincipal -FilePath C:\vta\principal.json

Mode                LastWriteTime         Length Name
----                -------------         ------ ----
-a----         10/8/2019  11:14 PM           1873 principal.json

次のタスク

この後は信頼機関クラスタへの信頼済みホストの情報のインポートに続きます。