SSL 証明書の置き換えのための vSphere Certificate Manager の使い方
Article ID: 322140
Updated On:
Products
VMware vCenter Server
Issue/Introduction
この記事では、vSphere Certificate Manager を使用する場合と方法について説明します。
vSphere Certificate Manager の使用:vSphere Certificate Manager は、以下の用途に使用できます:
デフォルト証明書を実装する(オプション 4 もしくは 8 を使用):
- このオプションは、エンタープライズ CA(Microsoft Windows CA のような)または商業認証局(Verisign、GoDaddy など)で署名されたカスタム CA 証明書を実装する計画がない場合に使用できます。
- この環境では、vSphere 証明書が VMware 認証局 (VMCA) によって生成および発行されて、vSphere エンドポイント証明書ストア (VECS) で保存されます。
- デフォルトでは、vSphere の外部でこれらの証明書が信頼されていません。
- マシン SSL 証明書とソリューションユーザ証明書が期限切れの場合、証明書の置き換えにはオプション 8 (証明書のリセット)を使用してください。
- この環境では、エンタープライズ CA (Microsoft Windows CA のような) または商業認証局(Verisign や GoDaddy など)のカスタム CA 証明書およびキーでデフォルトの VMware 認証局 (VMCA) 証明書およびキーを置き換えます。
- その後、VMware 認証局 (VMCA) は以前にインポートしたカスタム CA 証明書およびキーで署名される新しい vSphere 証明書を生成するために使用されます。
- VMCA によって発行されるこれらの証明書は vSphere の外部で信頼されます。
- この環境では、エンタープライズ CA (Microsoft Windows CA のような) または商業認証局(Verisign や GoDaddy など)のいずれかで署名されたカスタム CA 証明書でマシン証明書およびすべてのソリューション ユーザー証明書を置き換えます。
- VMCA は証明書を発行しません。
Symptoms:
免責事項:これは英文の記事「How to use vSphere Certificate Manager to Replace SSL Certificates (2097936)」の日本語訳です。記事はベストエフォートで翻訳を進めているため、ローカライズ化コンテンツは最新情報ではない可能性があります。最新情報は英語版の記事で参照してください。
Environment
VMware vCenter Server 7.0.x
Resolution
マシン SSL 証明書の更新もしくは証明書署名要求の生成の手順:
注:vSphere vCenter 7.x では、ユーザーインターフェースにて下記を辿ることでマシン SSL の更新や証明書署名要求の生成が可能です。- メニュー > 管理 > 証明書 > 証明書の管理
マシン SSL 証明書の欄で、アクション プルダウンメニューを選択します。
詳細については、Managing Certificates with the vSphere Client を参照してください。
注:Windows では、administrator としてログインするか、ユーザアクセス制御が有効な時は、"管理者として実行" をしてください。
vSphere Certificate Manager を起動するには、次のコマンドを実行します。
- Windows vCenter Server:C:\Program Files\VMware\vCenter Server\vmcad\certificate-manager
- vCenter Server Appliance : /usr/lib/vmware-vmca/bin/certificate-manager
オプションの詳細:
| オプション# | 詳細 | 必要な情報 |
| 1 | マシン SSL 証明書をカスタム CA 証明書と置き換える マシン SSL 証明書では、サブオプションを指定して、マシン SSL 証明書の証明書署名要求およびキーを生成するサブオプションが表示されます。 |
|
| 2 | カスタム CA 署名証明書で VMCA ルート証明書を置き換え、すべての証明書を置き換える VMCA ルート署名証明書の証明書署名要求およびキーを生成するサブオプションが表示されます。 |
カスタム CA ですべてのソリューション ユーザー証明書を置き換えますか。
カスタム CA でマシン SSL 証明書を置き換えますか。
|
| 3 | VMCA によって生成された証明書でマシン SSL 証明書を置き換える |
|
| 4 | 新しいデフォルトの VMCA ルート証明書を再生成し、すべての証明書を置き換える |
|
| 5 | カスタム CA 証明書でソリューション ユーザー証明書を置き換える |
|
| 6 | VMCA によって生成された証明書でソリューション ユーザー証明書を置き換える |
|
| 7 | 古い証明書を再発行して最後に実行した操作を元に戻す |
|
| 8 | すべての証明書のリセット |
|
注:Certool.cfg はここにあります:
- C:\Program Files\VMware\vCenter Server\vmcad\certool.cfg
- vCenter Server Appliance と Platform Service Controler Appliance(外部 PSC)の構成ファイルの場所:
- vCenter Server Appliance: /usr/lib/vmware-vmca/share/config/certool.cfg
- 外部 Platform Service Controller Appliance: /usr/lib/vmware-vmca/share/config/certool.cfg
vCenter の PNID が不明な場合は、以下のコマンドで取得できます。
- Windows vCenter Server 6.x:
- vCenter Server Appliance 6.x/7.x:
Additional Information
- VMware Skyline Health Diagnostics for vSphere - FAQ
- CA 署名証明書の実装の詳細については、「Replacing default certificates with CA signed SSL certificates in vSphere 6.0 (2111219)」を参照してください
- Using certool to generate CSRs that include multiple DNS names for one host
注:現在、vCenter Server は、VMCA とのみ連携します。vSphere Certificate Manager および VMCA を使用して、その他の製品に証明書を発行することはできません。
ログ ファイルの場所:
- vSphere Certificate Manager では、certificate-manager.log ファイルが次の場所に格納されます。
- Windows vCenter Server 6.x: C:\ProgramData\VMware\vCenterServer\logs\vmca\certificate-manager.log
- vCenter Server Appliance 6.x/7.x: /var/log/vmware/vmcad/certificate-manager.log
- certool.cfg ファイルは次の場所にあります。
C:\Program Files\VMware\vCenter Server\vmcad\certool.cfg
- vCenter Server Appliance および Platform Service Controller Appliance の構成ファイルの場所:
- vCenter Server Appliance: /usr/lib/vmware-vmca/share/config/certool.cfg
- Platform Service Controller Appliance:/usr/lib/vmware-vmca/share/config/certool.cfg
- How to use vSphere Certificate Manager to Replace SSL Certificate
- 如何使用 vSphere Certificate Manager 替换 SSL 证书
Feedback
Yes
No
Powered by
