デフォルトでは、VMware Certificate Authority (VMCA) は証明書を使用して ESXi をプロビジョニングします。代わりに、カスタム証明書モードまたは従来のサムプリント モード(デバッグ用)を使用することもできます。ほとんどの場合、モードの切り替えは無停止で行うことはできず、切り替える必要もありません。モードの切り替えが必要な場合、開始する前に潜在的な影響を確認してください。

vCenter Server では、 ESXi ホストに対して次の証明書モードがサポートされます。
証明書モード 説明
VMware 認証局(デフォルト) デフォルトでは、VMware Certificate Authority (VMCA) が ESXi ホスト証明書の認証局 (CA) として使用されます。デフォルトでは VMCA がルート CA ですが、別の CA への中間 CA として設定できます。このモードでは、ユーザーは vSphere Client から証明書を管理できます。これは、VMCA が従属証明書の場合も使用されます。
カスタム認証局 各自の外部認証局を管理する方が都合が良い場合もあります。このモードでは顧客が証明書を管理するため、vSphere Client から管理することはできません。
サムプリント モード vSphere 5.5 ではサムプリント モードが使用されており、このモードは後方互換性のために、vSphere 6.0 のフォールバック オプションとして引き続き使用できます。このモードは、他の 2 つのモードで解決できない問題が発生した場合にのみ使用してください。vCenter Server 6.0 以降の一部のサービスは、サムプリント モードで正常に動作しない可能性があります。

カスタム ESXi 証明書の使用

会社のポリシーで、VMCA とは異なるルート CA が求められる場合、綿密に計画した上で使用環境の証明書モードを切り替えることができます。ワークフローは次のとおりです。

  1. 使用する証明書を取得します。
  2. ホストをメンテナンス モードにして、vCenter Server から切断します。
  3. カスタム CA のルート証明書を VMware Endpoint Certificate Store (VECS) に追加します。
  4. カスタム CA 証明書を各ホストにデプロイし、そのホストでサービスを再起動します。
  5. カスタム CA モードに切り替えます。ESXi 証明書モードの変更を参照してください。
  6. ホストを vCenter Server システムに接続します。

カスタム CA モードから VMCA モードへの切り替え

カスタム CA モードを使用していて、使用環境では VMCA を使用する方が適切だと判断した場合、綿密に計画してからモードの切り替えを実行できます。ワークフローは次のとおりです。

  1. vCenter Server システムからすべてのホストを削除します。
  2. vCenter Server システムで、VECS からサードパーティ CA のルート証明書を削除します。
  3. VMCA モードに切り替えます。ESXi 証明書モードの変更を参照してください。
  4. ホストを vCenter Server システムに追加します。
注: このモードの切り替えを他のワークフローで行うと、予期しない動作が発生する可能性があります。

アップグレード時のサムプリント モードの証明書の取得

VMCA 証明書に問題が発生した場合、VMCA モードからサムプリント モードへの切り替えが必要になることがあります。サムプリント モードでは、vCenter Server システムにより、証明書が存在していて、正しい形式であるかどうかのみがチェックされ、証明書が有効であるかどうかはチェックされません。構成方法については、ESXi 証明書モードの変更 を参照してください。

サムプリント モードから VMCA モードへの切り替え

サムプリント モードを使用していて、VMCA 署名付き証明書の使用を開始する場合、計画を立てた上で切り替えを行う必要があります。ワークフローは次のとおりです。

  1. vCenter Server システムからすべてのホストを削除します。
  2. VMCA 証明書モードに切り替えます。ESXi 証明書モードの変更を参照してください。
  3. ホストを vCenter Server システムに追加します。
注: このモードの切り替えを他のワークフローで行うと、予期しない動作が発生する可能性があります。

カスタム CA モードからサムプリント モードへの切り替え

カスタム CA に問題が発生した場合、一時的にサムプリント モードに切り替えることを検討してください。ESXi 証明書モードの変更の指示に従えば、切り替えをシームレスに行うことができます。モードを切り替えると、vCenter Server システムにより証明書の形式のみがチェックされ、証明書自体の有効性はチェックされなくなります。

サムプリント モードからカスタム CA モードへの切り替え

トラブルシューティング時に使用環境をサムプリント モードに設定していて、カスタム CA モードの使用を開始する場合、まず必要な証明書を生成する必要があります。ワークフローは次のとおりです。

  1. vCenter Server システムからすべてのホストを削除します。
  2. カスタム CA ルート証明書を vCenter Server システムの VECS の TRUSTED_ROOTS ストアに追加します。vCenter Server TRUSTED_ROOTS ストア(カスタム証明書)の更新を参照してください。
  3. ESXi ホストで、次の操作を実行します。
    1. カスタム CA 証明書およびキーをデプロイします。
    2. ホストのサービスを再起動します。
  4. カスタム モードに切り替えます。ESXi 証明書モードの変更を参照してください。
  5. ホストを vCenter Server システムに追加します。