vRealize Operations Manager で使用する証明書は、所定の要件を満たしている必要があります。カスタム証明書の使用は任意であり、vRealize Operations Manager の機能には影響を与えません。ワイルドカード証明書を vRealize Operations Manager で使用することもできます。
カスタム証明書の要件
vRealize Operations Manager のカスタム証明書は次の要件を満たしている必要があります。
- 証明書ファイルに、ターミナル(リーフ)サーバ証明書、プライベート キー、およびすべての発行証明書(証明書が他の証明書のチェーンにより署名されている場合)が含まれている必要があります。
- ファイル内の証明書の順序については、リーフ証明書が先頭にあることが必要です。リーフ証明書の後の順序は任意です。
- ファイル内ではすべての証明書とプライベート キーが PEM 形式であることが必要です。vRealize Operations Manager は、PFX、PKCS12、PKCS7 などの形式の証明書をサポートしていません。
- ファイル内ではすべての証明書とプライベート キーが PEM でエンコードされていることが必要です。vRealize Operations Manager は、DER でエンコードされた証明書やプライベート キーをサポートしていません。
PEM エンコードは base-64 ASCII で、判読可能な BEGIN および END マーカが含まれているのに対し、DER はバイナリ形式です。また、ファイル拡張子がエンコードと一致していないことがあります。たとえば、一般的な .cer 拡張子が PEM または DER に使用されていることがあります。エンコード形式を確認するには、テキスト エディタを使用して証明書ファイルを確認します。
- ファイル拡張子は .pem であることが必要です。
- プライベート キーは RSA または DSA アルゴリズムで生成されていることが必要です。
- プライベート キーはパスフレーズで暗号化できます。生成された証明書は、プライマリ ノード構成ウィザードまたは管理インターフェイスを使用してアップロードできます。
- この vRealize Operations Manager リリースの REST API は、パスフレーズで暗号化されたプライベート キーをサポートしています。詳細については、VMware テクニカル サポートにお問い合わせください。
- 全ノードの vRealize Operations Manager Web サーバが同じ証明書ファイルを持つので、全ノードで証明書が有効であることが必要です。証明書が複数のアドレスで有効になるようにする方法の 1 つは、サブジェクトの代替名 (SAN) エントリを複数使用することです。
- SHA1 証明書では、ブラウザの互換性の問題が発生します。そのため、作成されて vRealize Operations Manager にアップロードされているすべての証明書に、SHA2 以上を使用して署名する必要があります。
- vRealize Operations Manager は、キーの長さが最大 8192 ビットのカスタム セキュリティ証明書をサポートします。8192 ビットを超える強力なキーの長さで作成したセキュリティ証明書をアップロードしようとすると、エラーが表示されます。
詳細については、次のナレッジベースの記事を参照してください。