この記事には、vSphere 6.0 および 7.x  環境での認証局 (CA) 署名付き SSL 証明書の手動確認に関する情報が記載されています。vSphere 6.0 および 7.x では、VMware Certificate Authority (VMCA) によって生成された証明書を vSphere Web Client 経由で監視することができます。詳細については、「vSphere Web Clientでの vCenter 証明書の表示 」を参照してください。ただし、独自のプライベート キー インフラストラクチャ (PKI) を使用している場合は、独自の証明書の有効性を管理する必要があります。

• 「vecs-cli コマンド リファレンス 」
• 「vSphere で証明書を使用する場合」

• Windows 用に格納された証明書の確認
• vCenter Server Appliance 用に格納された証明書の確認
• Windows 用に格納された証明書のエクスポート
• vCenter Server Appliance 用に格納された証明書のエクスポート

Windows 用に格納された証明書の確認 ：

1. 管理者特権でのコマンド プロンプトを開きます。管理者権限のコマンド プロンプトが使用されていない場合、エントリ リスト コマンドは次の Win エラーで失敗します：access is denied。
2. 次のコマンドを実行して、VECS 内に格納されているすべてのキーストアを一覧表示します。次のコマンドは、vCenter Server または Platform Services Controller から実行可能です。
   
   "C:\Program Files\VMware\vCenter Server\vmafdd\"vecs-cli store list
   
   これにより、このコマンドが実行されるノードに応じて、これらのリストのいずれかが出力されます。
   
   外部 Platform Services Controller の場合：
   
   MACHINE_SSL_CERT
   TRUSTED_ROOTS
   TRUSTED_ROOT_CRLS
   machine
   
   外部 Platform Services Controller がある、または Platform Services Controller が埋め込まれている vCenter Server の場合：
   
   MACHINE_SSL_CERT
   TRUSTED_ROOTS
   TRUSTED_ROOT_CRLS
   machine
   vpxd
   vpxd-extension
   vsphere-webclient
   SMS
3. 個別のキーストアを確認するには、次の例を使用して、格納されている証明書を一覧表示します。
   
   "C:\Program Files\VMware\vCenter Server\vmafdd\"vecs-cli entry list --store TRUSTED_ROOTS --text | more
   
   "C:\Program Files\VMware\vCenter Server\vmafdd\"vecs-cli entry list --store MACHINE_SSL_CERT --text | more
   
   "C:\Program Files\VMware\vCenter Server\vmafdd\"vecs-cli entry list --store machine --text | more
   
   "C:\Program Files\VMware\vCenter Server\vmafdd\"vecs-cli entry list --store vpxd --text | more
   
   "C:\Program Files\VMware\vCenter Server\vmafdd\"vecs-cli entry list --store vpxd-extension --text | more
   
   "C:\Program Files\VMware\vCenter Server\vmafdd\"vecs-cli entry list --store vsphere-webclient --text | more
   
   "C:\Program Files\VMware\vCenter Server\vmafdd\"vecs-cli entry list --store SMS --text | more
   
   "C:\Program Files\VMware\vCenter Server\vmafdd\"vecs-cli entry list --store TRUSTED_ROOT_CRLS --text | more
   
   注： セッションを終了するには、q キーを押します。
    
4. 表示される証明書を確認します。
   
   注：

• MACHINES_SSL_CERT またはソリューション ユーザー ストアを確認する際には、X509v3 拡張、特にキー使用法、有効性、サブジェクトの代替名をメモします。vSphere 6.0 にアップグレードした場合、以前 vCenter Server で使用された証明書は MACHINE_SSL_CERT となります。
• TRUSTED_ROOTS ストアを確認する際には、X509v3 拡張、特にキー使用法証明書署名、有効性をメモします。証明書署名キー使用法がない場合、VMCA は証明書の署名およびプロビジョニングを行うことができないため、インストールおよび証明書再生成のエラーが発生します。
• vCenter の Build によっては、状況に応じて下記のストアがある場合があります。上記で説明した vecs-cli コマンドを使用して、これらのストアに保存された証明書をリストしてください。
  • BACKUP_STORE
  • data-encipherment
  • KMS_ENCRYPTION

vCenter Server Appliance 用に格納された証明書の確認 :

1. vCenter Server Appliance への SSH セッションを開きます。Root でログインします。次のコマンドを使用して、BASH シェル セッションの使用に切り替えます。
   
   shell.set --enabled true
   
   shell
    
2. 次のコマンドを実行して、VECS 内に格納されているすべてのキーストアを一覧表示します。次のコマンドは、vCenter Server または Platform Services Controller から実行可能です。
   
   /usr/lib/vmware-vmafd/bin/vecs-cli store list
   
   これにより、このコマンドが実行されるノードに応じて、次のリストのいずれかが出力されます。
   
   外部 Platform Services Controller：
   
   MACHINE_SSL_CERT
   TRUSTED_ROOTS
   TRUSTED_ROOT_CRLS
   machine
   
   外部 Platform Services Controller がある、または Platform Services Controller が埋め込まれている vCenter Server Appliance：
   
   MACHINE_SSL_CERT
   TRUSTED_ROOTS
   TRUSTED_ROOT_CRLS
   machine
   vpxd
   vpxd-extension
   vsphere-webclient
   SMS
3. 個別のキーストアを確認するため、次の例を使用して、格納されている証明書を一覧表示します。
   
   /usr/lib/vmware-vmafd/bin/vecs-cli entry list --store TRUSTED_ROOTS --text | less
   
   /usr/lib/vmware-vmafd/bin/vecs-cli entry list --store MACHINE_SSL_CERT --text | less
   
   /usr/lib/vmware-vmafd/bin/vecs-cli entry list --store machine --text | less
   
   /usr/lib/vmware-vmafd/bin/vecs-cli entry list --store vpxd --text | less
   
   /usr/lib/vmware-vmafd/bin/vecs-cli entry list --store vpxd-extension --text | less
   
   /usr/lib/vmware-vmafd/bin/vecs-cli entry list --store vsphere-webclient --text | less
   
   /usr/lib/vmware-vmafd/bin/vecs-cli entry list --store SMS --text | less
   
   /usr/lib/vmware-vmafd/bin/vecs-cli entry list --store TRUSTED_ROOT_CRLS --text | less
   
   注： セッションを終了するには、q キーを押します。
    
4. 表示される証明書を確認します。
   
   注：

• MACHINES_SSL_CERT またはソリューション ユーザー ストアを確認する際には、X509v3 拡張、特にキー使用法、有効性、サブジェクトの代替名をメモします。vSphere 6.0 にアップグレードした場合、vCenter Server に前に使用された証明書は現在 MACHINE_SSL_CERT となります。
• TRUSTED_ROOTS ストアを確認する際には、X509v3 拡張、特にキー使用法証明書署名、有効性をメモします。証明書署名キー使用法がない場合、VMCA は証明書の署名およびプロビジョニングを行うことができないため、インストールおよび証明書再生成のエラーが発生します。
• vCenter の Build によっては、状況に応じて下記のストアがある場合があります。上記で説明した vecs-cli コマンドを使用して、これらのストアに保存された証明書をリストしてください。
  • BACKUP_STORE
  • data-encipherment
  • KMS_ENCRYPTION

Windows 用に格納された証明書のエクスポート ：

1. 管理者特権でのコマンド プロンプトを開きます。管理者権限のコマンド プロンプトが使用されていない場合、エントリ リスト コマンドは次の Win エラーで失敗します：access is denied。
2. 次のコマンドを実行して、VECS 内に格納されているすべてのキーストアを一覧表示します。次のコマンドは、vCenter Server または Platform Services Controller から実行可能です。
   
   "%VMWARE_CIS_HOME%"\vmafdd\vecs-cli entry getcert --store <stored name> --alias <alias name> --output c:\certificate\<certificate usage name>.crt
   
   "%VMWARE_CIS_HOME%"\vmafdd\vecs-cli entry getkey --store <stored name> --alias <stored name> --output c:\certificate\<certificate usage name>.key
   
   このコマンドが実行されるノードに応じて、次のストアのペアのいずれかを出力できます。
   
   外部 Platform Services Controller の場合：
   
   MACHINE_SSL_CERT
   TRUSTED_ROOTS
   TRUSTED_ROOT_CRLS
   machine
   
   外部 Platform Services Controller がある、または Platform Services Controller が埋め込まれている vCenter Server の場合：
   
   MACHINE_SSL_CERT
   TRUSTED_ROOTS
   TRUSTED_ROOT_CRLS
   machine
   vpxd
   vpxd-extension
   vsphere-webclient
   SMS
3. 個別のキーストアを確認するには、次の例を使用して、格納されている証明書を一覧表示します。
   
   "%VMWARE_CIS_HOME%"\vmafdd\vecs-cli entry getcert --store MACHINE_SSL_CERT --alias __MACHINE_CERT --output c:\certificates\machine_ssl.crt
   
   "%VMWARE_CIS_HOME%"\vmafdd\vecs-cli entry getkey --store MACHINE_SSL_CERT --alias __MACHINE_CERT --output c:\certificates\machine_ssl.key
   
   "%VMWARE_CIS_HOME%"\vmafdd\vecs-cli entry getcert --store vpxd-extension --alias vpxd-extension --output c:\certificates\vpxd-extension.crt
   
   "%VMWARE_CIS_HOME%"\vmafdd\vecs-cli entry getkey --store vpxd-extension --alias vpxd-extension --output c:\certificates\vpxd-extension.key
   
   "%VMWARE_CIS_HOME%"\vmafdd\vecs-cli entry getcert --store vpxd --alias vpxd --output c:\certificates\vpxd.crt
   
   "%VMWARE_CIS_HOME%"\vmafdd\vecs-cli entry getkey --store vpxd --alias vpxd --output c:\certificates\vpxd.key
   
   "%VMWARE_CIS_HOME%"\vmafdd\vecs-cli entry getcert --store machine --alias machine --output c:\certificates\machine.crt
   
   "%VMWARE_CIS_HOME%"\vmafdd\vecs-cli entry getkey --store machine --alias machine --output c:\certificates\machine.key
   
   "%VMWARE_CIS_HOME%"\vmafdd\vecs-cli entry getcert --store vsphere-webclient --alias vsphere-webclient --output c:\certificates\vsphere-webclient.crt
   
   "%VMWARE_CIS_HOME%"\vmafdd\vecs-cli entry getkey --store vsphere-webclient --alias vsphere-webclient --output c:\certificates\vsphere-webclient.key

vCenter Server Appliance 用に格納された証明書のエクスポート ：

1. vCenter Server Appliance への SSH セッションを開きます。Root でログインします。次のコマンドを使用して、BASH シェル セッションの使用に切り替えます。
   
   shell.set --enabled true
   
   shell
    
2. "mkdir /certificate" コマンドを実行し、エクスポート用ディレクトリを作成します。
3. 次のコマンドを実行して、VECS 内に格納されているキーと証明書のペアを 1 つずつエクスポートします。次のコマンドは、vCenter Server または Platform Services Controller から実行可能です。
   
   /usr/lib/vmware-vmafd/bin/vecs-cli entry getcert --store <stored name> --alias <alias name> --output /certificate/<certificate usage name>.crt
   
   /usr/lib/vmware-vmafd/bin/vecs-cli entry getkey --store <stored name> --alias <stored name> --output /certificate/<certificate usage name>.key
   
   このコマンドが実行されるノードに応じて、次のストアのペアのいずれかを出力できます。
   
   外部 Platform Services Controller：
   
   MACHINE_SSL_CERT
   TRUSTED_ROOTS
   TRUSTED_ROOT_CRLS
   machine
   
   外部 Platform Services Controller がある、または Platform Services Controller が埋め込まれている vCenter Server Appliance：
   
   MACHINE_SSL_CERT
   TRUSTED_ROOTS
   TRUSTED_ROOT_CRLS
   machine
   vpxd
   vpxd-extension
   vsphere-webclient
   SMS
4. 例として、次のコマンドを使用して、格納されているペアをエクスポートします。
   
   /usr/lib/vmware-vmafd/bin/vecs-cli entry getcert --store MACHINE_SSL_CERT --alias __MACHINE_CERT --output /certificate/Machine_SSL.crt
   
   /usr/lib/vmware-vmafd/bin/vecs-cli entry getkey --store MACHINE_SSL_CERT --alias __MACHINE_CERT --output /certificate/Machine_SSL.key
   
   /usr/lib/vmware-vmafd/bin/vecs-cli entry getcert --store vpxd-extension --alias vpxd-extension --output /certificate/vpxd-extension.crt
   
   /usr/lib/vmware-vmafd/bin/vecs-cli entry getkey --store vpxd-extension --alias vpxd-extension --output /certificate/vpxd-extension.key
   
   /usr/lib/vmware-vmafd/bin/vecs-cli entry getcert --store vpxd --alias vpxd --output /certificate/vpxd.crt
   
   /usr/lib/vmware-vmafd/bin/vecs-cli entry getkey --store vpxd --alias vpxd --output /certificate/vpxd.key
   
   /usr/lib/vmware-vmafd/bin/vecs-cli entry getcert --store machine --alias machine --output /certificate/machine.crt
   
   /usr/lib/vmware-vmafd/bin/vecs-cli entry getkey --store machine --alias machine --output /certificate/machine.key
   
   /usr/lib/vmware-vmafd/bin/vecs-cli entry getcert --store vsphere-webclient --alias vsphere-webclient --output /certificate/vsphere-webclient.crt
   
   /usr/lib/vmware-vmafd/bin/vecs-cli entry getkey --store vsphere-webclient --alias vsphere-webclient --output /certificate/vsphere-webclient.key

• VMware Skyline Health Diagnostics for vSphere - FAQ (81931)
• "Error in creating a new entry for __MACHINE_CERT in VECS Store MACHINE_SSL_CERT", Certificate Replacement with Custom Certificate fails on 6.x/7.x (70777)
• "Unable to enumerate and validate the root certificates from the TRUSTED_ROOTS VECS store" pre-upgrade check error while upgrading to VC 6.7 (70902)
• How to replace the vSphere 6.0 Solution User certs with VMCA issued certs (2112281)

VMware の証明書の更新については、以下を参照してください。

• Replacing the vSphere 6.0 Machine SSL certificate with a VMware Certificate Authority issued certificate (2112279)