カスタム ESXi 証明書の使用

会社のポリシーで、VMCA とは異なるルート CA が求められる場合、綿密に計画した上で使用環境の証明書モードを切り替えることができます。ワークフローは次のとおりです。

1. [カスタム] モードに切り替えます。ESXi 証明書モードの変更を参照してください。

   モードを切り替えると、vSphere Client で [外部 CA を使用した管理] ドロップダウンを有効にして、証明書署名リクエストを生成できるようになります。

2. カスタム CA のルート証明書を VMware Endpoint Certificate Store (VECS) に追加します。
3. 証明書署名リクエストを生成し、使用する証明書を取得します。

   CSR が返されるまでしばらく待つことが必要な場合があります。

4. カスタム CA 証明書を vCenter Server ホストにインポートします。

   vCenter Server によってカスタム CA 証明書が ESXi ホストに配布されるまでしばらく時間がかかります。

カスタム CA モードから VMCA モードへの切り替え

カスタム CA モードを使用していて、使用環境では VMCA を使用する方が適切だと判断した場合、綿密に計画してからモードの切り替えを実行できます。ワークフローは次のとおりです。

1. vCenter Server システムからすべてのホストを削除します。
2. vCenter Server システムで、VECS からサードパーティ CA のルート証明書を削除します。
3. [VMCA] モードに切り替えます。ESXi 証明書モードの変更を参照してください。
4. ホストを vCenter Server システムに追加します。

アップグレード時のサムプリント モードの証明書の取得

VMCA 証明書に問題が発生した場合、VMCA モードからサムプリント モードへの切り替えが必要になることがあります。サムプリント モードでは、vCenter Server システムにより、証明書が存在していて、正しい形式であるかどうかのみがチェックされ、証明書が有効であるかどうかはチェックされません。構成方法については、ESXi 証明書モードの変更 を参照してください。

サムプリント モードから VMCA モードへの切り替え

サムプリント モードを使用していて、VMCA 署名付き証明書の使用を開始する場合、計画を立てた上で切り替えを行う必要があります。ワークフローは次のとおりです。

1. vCenter Server システムからすべての ESXi ホストを削除します。
2. [VMCA] モードに切り替えます。ESXi 証明書モードの変更を参照してください。
3. ESXi ホストを vCenter Server システムに追加します。

カスタム CA モードからサムプリント モードへの切り替え

カスタム CA に問題が発生した場合、一時的にサムプリント モードに切り替えることを検討してください。ESXi 証明書モードの変更の指示に従えば、切り替えをシームレスに行うことができます。モードを切り替えると、vCenter Server システムにより証明書の形式のみがチェックされ、証明書自体の有効性はチェックされなくなります。

サムプリント モードからカスタム CA モードへの切り替え

トラブルシューティング時に使用環境をサムプリント モードに設定していて、カスタム CA モードの使用を開始する場合、まず必要な証明書を生成する必要があります。ワークフローは次のとおりです。

1. vCenter Server システムからすべての ESXi ホストを削除します。
2. カスタム CA ルート証明書を vCenter Server システムの VECS の TRUSTED_ROOTS ストアに追加します。vCenter Server TRUSTED_ROOTS ストア（カスタム証明書）の更新を参照してください。
3. 各 ESXi ホストで、次の操作を実行します。
   1. カスタム CA 証明書およびキーをデプロイします。
   2. ホストのサービスを再起動します。
4. [カスタム] モードに切り替えます。ESXi 証明書モードの変更を参照してください。
5. ESXi ホストを vCenter Server システムに追加します。