VMware Certificate Authority (VMCA) を使用して証明書をホストに割り当てると、vSphere Client からそれらの証明書を更新できます。VMCA 証明書またはカスタム証明書のいずれかを使用する場合は、vCenter Server に関連付けられている TRUSTED_ROOTS ストアからすべての証明書を更新できます。
VMCA 証明書は、期限が近づいている場合、またはそれ以外の理由で新規証明書を使用してホストをプロビジョニングする必要がある場合に、vSphere Client を使用して更新することができます。期限切れになる前に VMCA 証明書を更新しなかった場合、ホストを切断して再接続した際に vCenter Server によって証明書が更新されます。vCenter Server にホストを再度追加すると、信頼が再確立され、vCenter Server は無条件に更新された証明書を発行できるようになります。
デフォルトで vCenter Server は、ホストがインベントリに追加されるか再接続されるたびに、ステータスが [期限切れ]、[期限切れ間近]、または [間もなく期限切れ] になっている VMCA 証明書を更新します。
信頼できるルート証明書の有効期限を超える有効期限で ESXi 証明書を更新することはできません。たとえば、ESXi の vpxd.certmgmt.certs.daysValid 詳細オプションを 5 年に設定しても、信頼できるルート証明書が 2 年後に期限切れになるように設定されている場合、ESXi 証明書の有効期限は 2 年に制限されます。
vSphere Client を使用して、現在 vCenter Server VECS ストア内の TRUSTED_ROOTS ストアにあるすべての証明書を ESXi ホストにプッシュできます。この機能は、ESXi ホストの信頼できるルートを更新する必要がある場合に使用します。この機能は、VMCA 証明書とカスタム証明書の両方に対応しています。
前提条件
- VMCA 証明書を使用している場合、証明書モードは [vmca] に設定されます。
- カスタム証明書を使用している場合、証明書モードは [custom] に設定されます。
- ESXi ホストが vCenter Server システムに接続されている。
- vCenter Server システムと ESXi ホスト間に適切な時刻同期がある。
- DNS 解決が vCenter Server システムと ESXi ホスト間で動作する。
- vCenter Server システムの MACHINE_SSL_CERT および Trusted_Root 証明書が有効であり、期限切れでない。VMware のナレッジベースの記事 (https://kb.vmware.com/s/article/2111411) を参照してください。
- ESXi ホストがメンテナンス モードではない。