デフォルトでは、VMware Certificate Authority (VMCA) は証明書を使用して ESXi をプロビジョニングします。VMCA 証明書をカスタム証明書に置き換えるときは、カスタム モードを使用します。デバッグにはレガシーのサムプリント モードを使用します。モードの切り替えが必要な場合、開始する前に潜在的な影響を確認してください。

証明書モードの説明については、「証明書と証明書モード」を参照してください。

カスタム ESXi 証明書の使用

注: VMCA 証明書からカスタム証明書の使用に切り替える場合は、組織による承認と証明書を生成する際のフルフィルメント プロセスの時間を必ず考慮してください。また、切り替え中に現在の証明書が期限切れにならないように、適切に計画します。

会社のポリシーで、VMCA とは異なるルート CA が求められる場合、綿密に計画した上で使用環境の証明書モードを切り替えることができます。ワークフローは次のとおりです。

  1. [カスタム] モードに切り替えます。ESXi 証明書モードの変更を参照してください。

    モードを切り替えると、vSphere Client[外部 CA を使用した管理] ドロップダウンを有効にして、証明書署名リクエストを生成できるようになります。

  2. カスタム CA のルート証明書を VMware Endpoint Certificate Store (VECS) に追加します。
  3. 証明書署名リクエストを生成し、使用する証明書を取得します。

    CSR が返されるまでしばらく待つことが必要な場合があります。

  4. カスタム CA 証明書を vCenter Server ホストにインポートします。

    vCenter Server によってカスタム CA 証明書が ESXi ホストに配布されるまでしばらく時間がかかります。

カスタム CA モードから VMCA モードへの切り替え

カスタム CA モードを使用していて、使用環境では VMCA を使用する方が適切だと判断した場合、綿密に計画してからモードの切り替えを実行できます。ワークフローは次のとおりです。

  1. vCenter Server システムからすべてのホストを削除します。
  2. vCenter Server システムで、VECS からサードパーティ CA のルート証明書を削除します。
  3. [VMCA] モードに切り替えます。ESXi 証明書モードの変更を参照してください。
  4. ホストを vCenter Server システムに追加します。
注: このモードの切り替えを他のワークフローで行うと、予期しない動作が発生する可能性があります。

アップグレード時のサムプリント モードの証明書の取得

VMCA 証明書に問題が発生した場合、VMCA モードからサムプリント モードへの切り替えが必要になることがあります。サムプリント モードでは、vCenter Server システムにより、証明書が存在していて、正しい形式であるかどうかのみがチェックされ、証明書が有効であるかどうかはチェックされません。構成方法については、ESXi 証明書モードの変更 を参照してください。

サムプリント モードから VMCA モードへの切り替え

サムプリント モードを使用していて、VMCA 署名付き証明書の使用を開始する場合、計画を立てた上で切り替えを行う必要があります。ワークフローは次のとおりです。

  1. vCenter Server システムからすべての ESXi ホストを削除します。
  2. [VMCA] モードに切り替えます。ESXi 証明書モードの変更を参照してください。
  3. ESXi ホストを vCenter Server システムに追加します。
注: このモードの切り替えを他のワークフローで行うと、予期しない動作が発生する可能性があります。

カスタム CA モードからサムプリント モードへの切り替え

カスタム CA に問題が発生した場合、一時的にサムプリント モードに切り替えることを検討してください。ESXi 証明書モードの変更の指示に従えば、切り替えをシームレスに行うことができます。モードを切り替えると、vCenter Server システムにより証明書の形式のみがチェックされ、証明書自体の有効性はチェックされなくなります。

サムプリント モードからカスタム CA モードへの切り替え

トラブルシューティング時に使用環境をサムプリント モードに設定していて、カスタム CA モードの使用を開始する場合、まず必要な証明書を生成する必要があります。ワークフローは次のとおりです。

  1. vCenter Server システムからすべての ESXi ホストを削除します。
  2. カスタム CA ルート証明書を vCenter Server システムの VECS の TRUSTED_ROOTS ストアに追加します。vCenter Server TRUSTED_ROOTS ストア(カスタム証明書)の更新を参照してください。
  3. ESXi ホストで、次の操作を実行します。
    1. カスタム CA 証明書およびキーをデプロイします。
    2. ホストのサービスを再起動します。
  4. [カスタム] モードに切り替えます。ESXi 証明書モードの変更を参照してください。
  5. ESXi ホストを vCenter Server システムに追加します。