さまざまな vRealize Suite 製品で、製品間のセッション情報の暗号化に TLS が使用されています。デフォルトでは、Platform Services Controller の一部である VMware Certificate Authority (VMCA) が一部の製品とサービスに証明書を提供します。その他のコンポーネントは、自己署名証明書によってプロビジョニングされます。
デフォルトの証明書を独自のエンタープライズ証明書または認証局が署名した証明書に置き換える場合、コンポーネントによってプロセスが異なります。
証明書の検証はデフォルトで有効になっており、TLS 証明書がネットワーク トラフィックの暗号化に使用されます。vSphere 6.0 以降、VMCA は ESXi ホストと vCenter Server システムにインストール プロセスの一部として証明書を割り当てます。これらの証明書を置き換えて VMCA を中間認証局として使用したり、独自の環境でカスタム証明書を使用したりできます。vSphere バージョン 5.5 以前では自己署名証明書が使用され、必要に応じてこれらの証明書を使用したり置き換えたりできます。
vSphere 6.0 の証明書は、vSphere Certificate Manager ユーティリティまたは証明書管理 CLI を使用して置き換えることができます。vSphere 5.5 以前の証明書は、Certificate Automation ツールを使用して置き換えることができます。
VMCA を使用する製品
いくつかの VMware 製品は、インストール中に VMCA から証明書を受け取ります。それらの製品にはいくつかのオプションがあります。
- 証明書を内部展開用にそのまま残すか、外部に対する証明書は置き換えて内部に対する VMCA 署名付き証明書はそのまま残すことを検討する。
- VMCA を中間証明書にする。その後、完全なチェーンを使用して署名する。
- VMCA 署名付き証明書をカスタム証明書に置き換える。
vSphere セキュリティの考慮事項を参照してください。
自己署名証明書を使用する製品
自己署名証明書をそのまま使用する製品を使用できます。はじめて使用するときに、自己署名証明書を承諾するか拒否するかのプロンプトがブラウザに表示されます。ユーザーは証明書を承諾または拒否する前に、リンクをクリックして証明書の詳細を表示できます。ブラウザは承諾された証明書をローカルに保存し、その後の使用時には警告なしに承諾します。必要に応じて、自己署名証明書をエンタープライズ証明書または CA 書名付き証明書に置き換えることで、この承諾手順を省略できます。自己署名証明書を置き換える方法は、製品ドキュメントに記載されています。
| 製品 | ドキュメント |
|---|---|
| vSphere Replication | vSphere Replication アプライアンスの SSL 証明書の変更を参照してください。 |
| vRealize Automation | vRealize Automation 証明書の更新を参照してください。 |
| vRealize Log Insight | カスタム SSL 証明書のインストールを参照してください。 |
| vRealize Orchestrator | SSL 証明書の変更を参照してください。 |
| vRealize Operations Manager | vRealize Operations Manager へのカスタム証明書の追加を参照してください。 |
| vRealize Business for Cloud Standard | vRealize Business for Cloud の SSL 証明書の変更または置き換えを参照してください。 |
