企業のセキュリティ ポリシーによっては、各ホストでデフォルトの ESXi SSL 証明書をサードパーティ CA 署名付き証明書と置き換えるように要求される場合があります。

vSphere コンポーネントは、デフォルトで、インストール時に作成される VMCA 署名付き証明書とキーを使用します。誤って VMCA 署名付き証明書を削除してしまった場合、その vCenter Server システムからホストを削除し、再度追加します。ホストを追加すると、vCenter Server は、VMCA の新しい証明書を要求し、その証明書を使用してホストをプロビジョニングします。

企業のポリシー上必要な場合は、VMCA 署名付き証明書を、商業認証局または組織認証局のいずれかの信頼されている認証局 (CA) からの証明書で置き換えます。

デフォルトの証明書は、vSphere 5.5 証明書と同じ場所にあります。デフォルトの証明書は、さまざまな方法で信頼されている証明書と置き換えることができます。

注: vSphere Web Services SDK の vim.CertificateManager および vim.host.CertificateManager 管理対象オブジェクトを使用することもできます。vSphere Web Services SDK のドキュメントを参照してください。

証明書を置き換えたら、vCenter Server および ESXi ホストの信頼関係を確保するために、ホストを管理する vCenter Server システムの VECS の TRUSTED_ROOTS ストアを更新する必要があります。

ESXi ホストの CA 署名付き証明書の使用に関する詳細な手順については、ESXi 証明書モード切り替えワークフローを参照してください。

注: vSAN クラスタの一部である ESXi ホストで SSL 証明書を置き換える場合は、 https://kb.vmware.com/s/article/56441にある VMware ナレッジベースの記事に記載されている手順に従ってください。

ESXi 証明書署名要求の要件

エンタープライズまたはサードパーティ CA 署名付き証明書を使用するか、従属 CA 署名付き証明書を使用する場合は、証明書署名リクエスト (CSR) を認証局 (CA) に送信する必要があります。

次の特性を持つ CSR を使用します。
  • キー サイズ:2,048 ビット(最小)から 16,384 ビット(最大)(PEM エンコード)
  • PEM 形式。VMware では、PKCS8 および PKCS1(RSA キー)がサポートされます。VECS に追加されたキーは、PKCS8 に変換されます。
  • x509 バージョン 3
  • ルート証明書の場合、認証局の拡張を true に設定する必要があり、証明書の署名を要件の一覧に含める必要があります。
  • SubjectAltName には DNS Name=<machine_FQDN> が含まれている必要があります。
  • CRT 形式
  • キー使用法として、デジタル署名、キー暗号化が含まれている必要があります
  • 1 日前の開始時刻。
  • vCenter Server インベントリにある、ESXi ホストのホスト名(または IP アドレス)に設定された CN (および SubjectAltName)
vSphere は、次の証明書をサポートしていません。
  • ワイルドカードによる証明書。
  • アルゴリズム md2WithRSAEncryption、md5WithRSAEncryption、RSASSA-PSS、dsaWithSHA1、ecdsa_with_SHA1、sha1WithRSAEncryption はサポートされていません。

CSR の生成の詳細については、https://kb.vmware.com/s/article/2113926にある VMware ナレッジベースの記事を参照してください。

ESXi Shell からのデフォルトの証明書とキーの置き換え

ESXi Shell からのデフォルトの VMCA 署名付き ESXi 証明書は、置き換えることができます。

前提条件

  • サードパーティ CA 署名付き証明書を使用する場合は、証明書要求を生成し、それを認証局に送信して、各 ESXi ホストに証明書を保存します。
  • 必要に応じて、ESXi Shell を有効にするか、vSphere Client からの SSH トラフィックを有効にします。
  • ファイルのすべての転送および通信は、安全な HTTPS セッションを介して行われます。セッションの認証に使用するユーザーには、ホストに対する ホスト.構成.詳細構成権限が必要です。

手順

  1. ESXi Shell に、管理者権限を持つユーザーとして、DCUI から直接、または SSH クライアントからログインします。
  2. ディレクトリ /etc/vmware/ssl で、次のコマンドを使用して、既存の証明書の名前を変更します。 
    mv rui.crt orig.rui.crt
mv rui.key orig.rui.key
  3. 使用する証明書を /etc/vmware/ssl にコピーします。
  4. 新しい証明書と鍵を、rui.crt および rui.key にそれぞれ名前変更します。
  5. 新しい証明書をインストールしたら、ホストを再起動します。
    または、ホストをメンテナンス モードにして、新しい証明書をインストールした後、ダイレクト コンソール ユーザー インターフェイス (DCUI) を使用して管理エージェントを再起動し、メンテナンス モードを終了するようにホストを設定することができます。

次のタスク

vCenter Server TRUSTED_ROOTS ストアを更新します。vCenter Server TRUSTED_ROOTS ストア(カスタム証明書)の更新を参照してください。

HTTPS PUT を使用したデフォルトの証明書の置き換え

サードパーティ製のアプリケーションを使用して、証明書とキーをアップロードできます。HTTPS の PUT 操作をサポートするアプリケーションは、ESXi に含まれている HTTPS インターフェイスと連動します。

前提条件

  • サードパーティ CA 署名付き証明書を使用する場合は、証明書要求を生成し、それを認証局に送信して、各 ESXi ホストに証明書を保存します。
  • 必要に応じて、ESXi Shell を有効にするか、vSphere Client からの SSH トラフィックを有効にします。
  • ファイルのすべての転送および通信は、安全な HTTPS セッションを介して行われます。セッションの認証に使用するユーザーには、ホストに対する ホスト.構成.詳細構成権限が必要です。

手順

  1. 既存の証明書をバックアップします。
  2. アップロード アプリケーションで、各ファイルを次のように処理します。
    1. ファイルを開きます。
    2. 次のいずれかの場所にファイルをパブリッシュします。
      オプション 説明
      証明書 https://hostname/host/ssl_cert
      https://hostname/host/ssl_key
    場所 /host/ssl_cert および host/ssl_key は、 /etc/vmware/ssl 内の証明書ファイルにリンクします。
  3. ホストを再起動します。
    または、ホストをメンテナンス モードにして、新しい証明書をインストールした後、ダイレクト コンソール ユーザー インターフェイス (DCUI) を使用して管理エージェントを再起動し、メンテナンス モードを終了するようにホストを設定することができます。

次のタスク

vCenter ServerTRUSTED_ROOTS ストアを更新します。vCenter Server TRUSTED_ROOTS ストア(カスタム証明書)の更新を参照してください。

vCenter Server TRUSTED_ROOTS ストア(カスタム証明書)の更新

カスタム証明書を使用するように ESXi ホストを設定した場合は、ホストを管理する vCenter Server システムの TRUSTED_ROOTS ストアを更新する必要があります。

前提条件

各ホストの証明書をカスタム証明書で置き換えます。

注: vCenter Server システムが ESXi ホストにインストールされている認証局 (CA) と同じ認証局 (CA) によって発行されたカスタム証明書を使用して実行されている場合、この手順は必要ありません。

手順

  1. ESXi ホストを管理する vCenter Server システムの vCenter Server シェルにログインします。
  2. たとえば次のように、dir-cli を実行して、新しい証明書を TRUSTED_ROOTS ストアに追加します。 
    /usr/lib/vmware-vmafd/bin/dir-cli trustedcert publish --cert path_to_RootCA
  3. プロンプトが表示されたら、Single Sign-On 管理者の認証情報を入力します。
  4. カスタム証明書が中間 CA によって発行されている場合は、次のようなコマンドを実行して vCenter ServerTRUSTED_ROOTS ストアに中間 CA を追加する必要もあります。 
    /usr/lib/vmware-vmafd/bin/dir-cli trustedcert publish --cert path_to_intermediateCA

次のタスク

証明書モードをカスタムに設定します。証明書モードがデフォルトの VMCA の場合、証明書の更新を実行すると、カスタム証明書は VMCA 署名付き証明書に置き換えられます。ESXi 証明書モードの変更を参照してください。