ホストが vCenter Server システムに追加されると、vCenter Server はホストの証明書署名要求 (CSR) を VMCA に送信します。デフォルト値の大部分は多くの状況に適していますが、会社固有の情報を変更できます。

デフォルト設定の多くは、vSphere Client を使用して変更できます。組織および場所の情報を変更することを検討します。ESXi 証明書のデフォルト設定の変更を参照してください。

表 1. ESXi CSR 設定
パラメータ デフォルト値 詳細オプション
キーのサイズ 2048 N.A.
キーのアルゴリズム RSA N.A.
証明書署名アルゴリズム sha256WithRSAEncryption N.A.
共通名 ホストがホスト名に基づいて vCenter Server に追加された場合は、ホスト名。

ホストが IP アドレスに基づいて vCenter Server に追加された場合は、IP アドレス。

N.A.
USA vpxd.certmgmt.certs.cn.country
メール アドレス vmca@vmware.com vpxd.certmgmt.certs.cn.email
地域(市) Palo Alto vpxd.certmgmt.certs.cn.localityName
組織単位名 VMware エンジニアリング vpxd.certmgmt.certs.cn.organizationalUnitName
組織名 VMware vpxd.certmgmt.certs.cn.organizationName
州または県 California vpxd.certmgmt.certs.cn.state
証明書が有効な日数。 1825 vpxd.certmgmt.certs.daysValid
証明書有効期限のハードしきい値。このしきい値に達すると、vCenter Server は赤いアラームを生成します。 30 日 vpxd.certmgmt.certs.cn.hardThreshold
vCenter Server 証明書の有効性検査間隔をポーリングします。 5 日 vpxd.certmgmt.certs.cn.pollIntervalDays
証明書有効期限のソフトしきい値。このしきい値に達すると、vCenter Server はイベントを生成します。 240 日 vpxd.certmgmt.certs.cn.softThreshold
既存の証明書が置換されているかどうかを判断するために vCenter Server が使用するモード。アップグレード中にカスタム証明書を保持するには、このモードを変更します。ESXi ホストのアップグレードと証明書を参照してください。 vmca

サムプリントまたはカスタムを指定することもできます。ESXi 証明書モードの変更を参照してください。

vpxd.certmgmt.mode

ESXi 証明書のデフォルト設定の変更

ESXi ホストが vCenter Server システムに追加されると、vCenter Server はホストの証明書署名リクエスト (CSR) を VMCA に送信します。vSphere ClientvCenter Server 詳細設定を使用して、CSR のデフォルト設定の一部を変更できます。

デフォルト設定の一覧については、上記の表を参照してください。一部のデフォルトは変更できません。

手順

  1. vSphere Client で、ホストを管理している vCenter Server システムを選択します。
  2. [構成] をクリックし、[詳細設定] をクリックします。
  3. [設定の編集] をクリックします。
  4. [名前] 列で [フィルタ] アイコンをクリックし、[フィルタ] ボックスに vpxd.certmgmt と入力して、証明書管理パラメータのみを表示します。
  5. 企業のポリシーに合わせて既存のパラメータの値を変更し、[保存] をクリックします。
    次に vCenter Server にホストを追加するときに、 vCenter Server から VMCA に送信される証明書署名要求 (CSR) と、ホストに割り当てられる証明書で新しい設定が使用されます。

次のタスク

証明書のメタデータへの変更は、新しい証明書にのみ影響します。すでに vCenter Server システムで管理されているホストの証明書を変更する場合は、ホストを切断してから再接続するか、または証明書を更新します。