免責事項：これは英文の記事「Using vSphere Certificate Manager to Replace SSL Certificates」の日本語訳です。記事はベストエフォートで翻訳を進めているため、ローカライズ化コンテンツは最新情報ではない可能性があります。最新情報は英語版の記事で参照してください。

この記事では、vSphere Certificate Manager を使用する場合と方法について説明します。

vSphere Certificate Manager の使用：
vSphere Certificate Manager は、以下の用途に使用できます:

• デフォルト証明書を実装する
• VMware 認証局 (VMCA) 証明書をカスタム CA 証明書に置き換える
• カスタム CA 証明書およびキーですべての vSphere 証明書およびキーを置き換える

デフォルト証明書を実装する（オプション 4 もしくは 8 を使用）:

• このオプションは、エンタープライズ CA（Microsoft Windows CA のような）または商業認証局（Verisign、GoDaddy など）で署名されたカスタム CA 証明書を実装する計画がない場合に使用できます。
• この環境では、vSphere 証明書が VMware 認証局 (VMCA) によって生成および発行されて、vSphere エンドポイント証明書ストア (VECS) で保存されます。
• デフォルトでは、vSphere の外部でこれらの証明書が信頼されていません。
• マシン SSL 証明書とソリューションユーザ証明書が期限切れの場合、証明書の置き換えにはオプション 8 (証明書のリセット)を使用してください。
   

VMware 認証局 (VMCA) 証明書をカスタム CA 証明書に置き換える（オプション 2 を使用）:

• この環境では、エンタープライズ CA (Microsoft Windows CA のような) または商業認証局（Verisign や GoDaddy など）のカスタム CA 証明書およびキーでデフォルトの VMware 認証局 (VMCA) 証明書およびキーを置き換えます。
• その後、VMware 認証局 (VMCA) は以前にインポートしたカスタム CA 証明書およびキーで署名される新しい vSphere 証明書を生成するために使用されます。
• VMCA によって発行されるこれらの証明書は vSphere の外部で信頼されます。
• VMware は VMCA を下位（または中間）認証局として運用することを推奨していません。このような運用は著しく複雑でセキュリティに対して悪影響を及ぼす可能性があり、運用上のリスクが不必要に増大します。例えば、vCenter への完全なアクセス権を持つ悪意ある管理者が、組織のルート認証局まで遡って完全に信頼された有効な証明書を発行できてしまいます。
  
   

カスタム CA 証明書およびキーですべての vSphere 証明書およびキーを置き換える（オプション 5 を使用）:

• この環境では、エンタープライズ CA (Microsoft Windows CA のような) または商業認証局（Verisign や GoDaddy など）のいずれかで署名されたカスタム CA 証明書でマシン証明書およびすべてのソリューション ユーザー証明書を置き換えます。
• VMCA は証明書を発行しません。

vSphere 7.x では、vCenter ユーザーインターフェースを通して手順1と2の実行が可能です。

• マシン SSL 証明書の更新もしくは証明書署名要求の生成の手順：
• 注：vSphere vCenter 7.x / 8.x ではユーザーインターフェースにて下記を辿ることでマシン SSL の更新や証明書署名要求の生成が可能です。

• メニュー > 管理 > 証明書 > 証明書の管理

マシン SSL 証明書の欄で、アクション プルダウンメニューを選択します。
詳細については、Managing Certificates with the vSphere Client を参照してください。

注：Windows では、administrator としてログインするか、ユーザアクセス制御が有効な時は、"管理者として実行" をしてください。

• vSphere Certificate Manager を起動するには、次のコマンドを実行します。
  • vCenter Server Appliance :
    /usr/lib/vmware-vmca/bin/certificate-manager
    
    
  • vCenter Server (Windows Based) :
C:\Program Files\VMware\vCenter Server\vmcad> Certificate-manager.bat

• vCenter の PNID が不明な場合は、Windows または VCSA でそれぞれ次のコマンドで取得できます。
  • vCenter Server Appliance :
    /usr/lib/vmware-vmafd/bin/vmafd-cli get-pnid --server-name localhost
    
    
  • vCenter Server (Windows Based):
    "C:\Program Files\VMware\vCenter Server\vmafdd"\vmafd-cli get-pnid --server-name localhost
    
    
• デフォルト値 - vsphere.local からカスタマイズされたことで SSO ドメインが不明な場合は、Windows または VCSA でそれぞれ次のコマンドで取得できます。 
  • vCenter Server Appliance :
    /usr/lib/vmware-vmafd/bin/vmafd-cli get-domain-name --server-name localhost

    
  • vCenter Server (Windows Based) : 
    "C:\Program Files\VMware\vCenter Server\vmafdd"\vmafd-cli get-domain-name --server-name localhost
    
    
• certificate-manager のコマンドを実行すると、Windowsとアプライアンスのそれぞれのスクリーンショットにあるように、8 つのオプションが表示されます。

オプションの詳細：

注2：Certool.cfg はここにあります：

• C:\Program Files\VMware\vCenter Server\vmcad\certool.cfg
• vCenter Server Appliance と Platform Service Controler Appliance（外部 PSC）の構成ファイルの場所:
  • vCenter Server Appliance: /usr/lib/vmware-vmca/share/config/certool.cfg
  • 外部 Platform Service Controller Appliance: /usr/lib/vmware-vmca/share/config/certool.cfg
• certool.cfg のデフォルト設定は、以下のスクリーンショットの様になります:

• VMware Skyline Health Diagnostics for vSphere - FAQ

注 : Certificate Manager Tool でオプション 6 を実行するためには root ユーザで実行してください。

• vSphere Certificate Manager では、certificate-manager.log ファイルが次の場所に格納されます。
   
  • vCenter Server Appliance 6.x/7.x/8.x : /var/log/vmware/vmcad/certificate-manager.log
     
• certool.cfg ファイルは次の場所にあります:
  vCenter Server Appliance および Platform Service Controller Appliance の構成ファイルの場所： 
  • vCenter Server Appliance: /usr/lib/vmware-vmca/share/config/certool.cfg
  • Platform Service Controller Appliance：/usr/lib/vmware-vmca/share/config/certool.cfg

影響/リスク:

vCenter Server の証明書を変更した場合、接続する製品 (SRM, vSphere Replication, Horizon View 他) に影響を与えます。