企業のセキュリティ ポリシーによっては、すべてのホストでデフォルトの ESXi SSL 証明書をサードパーティ認証局 (CA) 署名付き証明書と置き換えるように要求される場合があります。

vSphere コンポーネントは、デフォルトで、インストール時に作成される VMCA 署名付き証明書とキーを使用します。誤って VMCA 署名付き証明書を削除してしまった場合、その vCenter Server システムからホストを削除し、再度追加します。ホストを追加すると、vCenter Server は、VMCA の新しい証明書を要求し、その証明書を使用してホストをプロビジョニングします。

企業のポリシー上必要な場合は、VMCA 署名付き証明書を、商業 CA または組織 CA のいずれかの信頼されている認証局からの証明書で置き換えることができます。

デフォルトの証明書は、vSphere Client または CLI を使用してカスタム証明書に置き換えることができます。

注: vSphere Web Services SDK の vim.CertificateManager および vim.host.CertificateManager 管理対象オブジェクトを使用することもできます。vSphere Web Services SDK のドキュメントを参照してください。

証明書を置き換える前に、vCenter Server および ESXi ホストの信頼関係を確保するために、ホストを管理する vCenter Server システムの VECS の TRUSTED_ROOTS ストアを更新する必要があります。

注: vSAN クラスタの一部である ESXi ホストで SSL 証明書を置き換える場合は、 https://kb.vmware.com/s/article/56441にある VMware ナレッジベースの記事に記載されている手順に従ってください。

カスタム証明書の ESXi 証明書署名リクエストの要件

次の特性を持つ CSR を使用します。

  • キー サイズ:2,048 ビット(最小)から 8,192 ビット(最大)(PEM エンコード)
  • PEM 形式。VMware では、PKCS8 および PKCS1(RSA キー)がサポートされます。VECS に追加されたキーは、PKCS8 に変換されます。
  • x509 バージョン 3
  • ルート証明書の場合、認証局の拡張を true に設定する必要があり、証明書の署名を要件の一覧に含める必要があります。
  • SubjectAltName には DNS Name=<machine_FQDN> が含まれている必要があります。
  • CRT 形式
  • キー使用法として、デジタル署名、キー暗号化が含まれている必要があります
  • 1 日前の開始時刻。
  • vCenter Server インベントリにある、ESXi ホストのホスト名(または IP アドレス)に設定された CN (および SubjectAltName)
注: vSphere の FIPS 証明書は、サイズが 2048 および 3072 の RSA キーのみを検証します。 FIPS を使用する場合の考慮事項を参照してください。
vSphere は、次の証明書をサポートしていません。
  • ワイルドカードによる証明書。
  • アルゴリズム md2WithRSAEncryption、md5WithRSAEncryption、RSASSA-PSS、dsaWithSHA1、ecdsa_with_SHA1、sha1WithRSAEncryption はサポートされていません。

vSphere Client を使用して CSR を生成するには、「vSphere Client を使用したカスタム証明書の証明書署名リクエストの生成」を参照してください。

CLI を使用した CSR の生成の詳細については、https://kb.vmware.com/s/article/2113926 にある VMware ナレッジベースの記事を参照してください。