vSphere Client から、デフォルトの VMCA 署名付き ESXi 証明書をカスタム証明書に置き換えることができます。
カスタム証明書をインポートする際は、必ず以下を行ってください。
- 置き換えに進む前に、CA 証明書チェーン全体を追加します。
- 自分の環境に適した CA 証明書を指定していることを確認します。インポートと置き換えのプロセスでは、使用する証明書のチェックは実行されません。
- 証明書チェーンに SHA1 ハッシュが含まれていないことを確認します。SHA1 はサポートされていません。
- 続行する前にルート CA を VECS に追加します。追加されていない場合は、証明書の置き換え直後にホストが切断されます。
前提条件
- 証明書署名リクエストを生成し、認証局に送信します。vSphere Client を使用したカスタム証明書の証明書署名リクエストの生成を参照してください。
- 認証局から証明書が返されたら、それを ESXi ホストに保存します。
- ESXi 証明書モードが [カスタム] に設定されていることを確認します。ESXi 証明書モードの変更を参照してください。
- 信頼できるルート ストアを更新します。vCenter Server TRUSTED_ROOTS ストア(カスタム証明書)の更新を参照してください。
手順
- vSphere Client インベントリで、ホストに移動して参照します。
- [構成] をクリックします。
- [システム] で、[証明書] をクリックします。
- [外部 CA を使用した管理] ドロップダウンから [インポートして置き換え] を選択します。
- 置き換えオプションを選択します。
オプション 説明 CSR が ESXi によって生成される外部 CA 証明書に置き換え(プライベート キーは組み込み) このオプションは、ESXi で CSR を生成した場合に使用します。この場合、プライベート キーは ESXi に保存されます。 CSR が認証局から生成される外部 CA 証明書に置き換え(プライベート キーが必要) このオプションは、CSR をサードパーティ認証局に送信して証明書とプライベート キーを受け取った場合に使用します。 - [次へ] をクリックします。
- 証明書、または証明書とプライベート キーを参照します。
- 情報を確認し、[インポートと置き換え] をクリックします。
結果
既存の証明書がカスタム証明書に置き換えられます。