vSphere 6.0 U1b 以降の VMware 認証局を従属認証局として構成する

search cancel

vSphere 6.0 U1b 以降の VMware 認証局を従属認証局として構成する

book

Article ID: 338832

calendar_today

Updated On:

Products

VMware vCenter Server

Issue/Introduction

この記事では、vSphere 6.0 U1b 以降のVMware 認証局 (VMCA) を既存の認証局の従属認証局として構成する方法を説明します。

VMCA は、組み込みの vCenter Server 6.0 インストール環境、および外部の Platform Services Controller 上に存在します。

Symptoms:
免責事項：これは英文の記事「Configuring the vSphere 6.0 U1b or later VMware Certificate Authority as a Subordinate Certificate Authority (2147542)」の日本語訳です。記事はベストエフォートで翻訳を進めているため、ローカライズ化コンテンツは最新情報ではない可能性があります。最新情報は英語版の記事で参照してください。

Environment

VMware vCenter Server 6.5.x
VMware vCenter Server 6.0.x

Resolution

Microsoft 認証局をまだ構成していない場合は、「Creating a Microsoft Certificate Authority Template for SSL certificate creation in vSphere 6.0 (2112009)」を参照してください。

注：

このタスクを実行すると、VMCA ルート証明書がカスタム署名証明書で置き換えられ、マシン SSL 証明書およびソリューションユーザー証明書が、このカスタム署名証明書によって発行された証明書で置き換えられます。
複数の Platform Services Controller を稼働している場合で、すべての vCenter Server 6.0 インストール環境に信頼された証明書が必要なときは、上記のタスクをすべての Platform Services Controller 上で実行する必要があります。
場合により、ESXi ホスト用に作成した証明書を自動的に信頼するために、vSphere Client 用にドメインを介して中間 CA 証明書を配布する必要があります。
HA 環境内でロードバランサの背後に証明書を構成する場合は、ロード　バランサを無視して、各 Platform Services Controller 上で以下の手順を実行します。

注意：

VMCA では、24 時間以上にわたって証明書を有効にしておく必要があります。
vCenter Server 6.0 U1b よりも前のバージョンを実行している場合は、「Configuring VMware vSphere 6.0 VMware Certificate Authority as a subordinate Certificate Authority (2112016)」を参照してください。
- vCenter Server ビルドの詳細については、「中間 CA として VMCA を使用する vSphere 6.0 U1b 以降

次のどちらかの方法で、vSphere 6.0 Certificate Manager を起動します。

Platform Service Controller Appliance：

/usr/lib/vmware-vmca/bin/certificate-manager

Windows Platform Service Controller：

C:\Program Files\VMware\vCenter Server\vmcad\certificate-manager
[オプション 2] (Replace VMCA Root certificate with Custom Signing Certificate and replace all Certificates) を選択します。
「"Do you wish to generate all certificates using configuration file"」のプロンプトが表示されます。このプロンプトは、手順 5 でのソリューションユーザー用証明書パラメータの選択を表しています。デフォルトは既知の問題を引きお起こす可能性があるため、[Yes] を選択することをお勧めします。詳細については、「Updating certificates using certificate manager on vCenter Server or PSC 6.0 Update 1b fails (2144086)」を参照してください。
プロンプトが表示されたら、[email protected] のパスワードを入力します。

「MACHINE_SSL_CERT.cfg file exists, Do you wish to reconfigure : Option[Y/N]」のプロンプトが表示されます。[Yes] を選択すると、以下の証明書パラメータを選択できます。

注：vCenter Server 6.0 Update 1b 以降の場合、各ソリューションユーザー用に一意の名前を作成する必要があります。詳細については、「Updating certificates using certificate manager on vCenter Server or PSC 6.0 Update 1b fails (2144086)」を参照してください。

注意：'Name' 値は、SSO ドメインの各ソリューションユーザー用に一意である必要があります。たとえば、machine.cfg 構成ファイルには machine_FQDN を使用します。

Please configure certool.cfg file with proper values before proceeding to next step.
Press Enter key to skip optional parameters or use Default value.
Enter proper value for 'Country' [Default value : US] :
Enter proper value for 'Name' [Default value : Acme] :
Enter proper value for 'Organization' [Default value : AcmeOrg] :
Enter proper value for 'OrgUnit' [Default value : AcmeOrg Engineering] :
Enter proper value for 'State' [Default value : California] :
Enter proper value for 'Locality' [Default value : Palo Alto] :
Enter proper value for 'IPAddress' [optional] :
Enter proper value for 'Email' [Default value : [email protected]] :
Enter proper value for 'Hostname' [Enter valid Fully Qualified Domain Name(FQDN), For Example : example.domain.com] :

注：手順 3 で [Y] と答えると、MACHINE_SSL_CRT.cfg の後に、machine.cfgと vsphere-webclient.cfg を再構成するよう求められます。

6. [オプション 1] (Generate Certificate Signing Request(s) and Key(s) for VMCA Root Signing certificate) を選択します。

証明書署名要求とプライベートキーの保存先ディレクトリを入力します。

注：作成されたファイルの名前は、vmca_issued_csr.csr および vmca_issued_key.key になります。

7. 「 certool.cfg file exists, Do you wish to reconfigure」のプロンプトが表示されます。このファイルは、VMCA ルート証明書の証明書パラメータを決定します。従属署名証明書を生成する認証局に vmca_issued_csr.csr を指定し、ファイル名を root_signing_cert.cer に設定します。詳細については、「Obtaining vSphere certificates from a Microsoft Certificate Authority (2112014)」を参照してください。

注：WinSCP を使用して vCenter Server 6.0 アプライアンスに接続できるようにするには、「Error when uploading files to vCenter Server Appliance using WinSCP (2107727)」を参照してください。

8. プレーンテキストエディタを使用して、中間 CA 証明書とルート CA 証明書の内容をテキストファイルにコピーして、root_signing_cert.cer でフルチェーンを作成します。中間 CA 証明書とルート CA 証明書の取得方法の詳細については、「Obtaining vSphere certificates from a Microsoft Certificate Authority (2112014)」の手順 12 を参照してください。

この例で、最初の証明書は root_signing_cert.cer の内容で、次はいずれかの中間証明書で、最後はルート証明書です。

-----BEGIN CERTIFICATE-----
MIIFxTCCBK2gAwIBAgIKYaLJSgAAAAAAITANBgkqhkiG9w0BAQUFADBGMRMwEQYK
CZImiZPyLGQBGRYDbmV0MRYwFAYKCZImiZPyLGQBGRYGbW5uZXh0MRcwFQYDVQQD
Ew5tbm5leHQtQUQtMS1DQTAeFw0xMzAyMDExNjAxMDNaFw0xNTAyMDExNjExMDNa
SMhYhbv3wr7XraAnsIaBYCeg+J7fKTFgjA8bTwC+dVTaOSXQuhnZfrOVxlfJ/Ydm
NS7WBBBFd9V4FPyRDPER/QMVl+xyoaMGw0QKnslmq/JvID4FPd0/QD62RAsTntXI
ATa+CS6MjloKFgRaGnKAAFPsrEeGjb2JgMOpIfbdx4KT3WkspsK3KPwFPoYza4ih <-----root_signing_cert.cer
4eT2HwhcUs4wo7X/XQd+CZjttoLsSyCk5tCmOGU6xLaE1s08R6sz9mM=
-----END CERTIFICATE-----
-----BEGIN CERTIFICATE-----
MIIDZzCCAk+gAwIBAgIQNO7aLfykR4pE94tcRe0vyDANBgkqhkiG9w0BAQUFADBG
K73RIKZaDkBOuUlRSIfgfovUFJrdwGtMWo3m4dpN7csQAjK/uixfJDVRG0nXk9pq
GXaS5/YCv5B4q4T+j5pa2f+a61ygjN1YQRoZf2CHLe7Zq89Xv90nhPM4foWdNNkr <-----Intermediate Certificate
/Esf1E6fnrItsXpIchQOmvQViis12YyUvwko2aidjVm9sML0ANiLJZSoQ9Zs/WGC
TLqwbQm6tNyFB8c=
-----END CERTIFICATE-----
-----BEGIN CERTIFICATE-----
MIIDZzCCAk+gAwIBAgIQNO7aLfykR4pE94tcRe0vyDANBgkqhkiG9w0BAQUFADBG
K73RIKZaDkBOuUlRSIfgfovUFJrdwGtMWo3m4dpN7csQAjK/uixfJDVRG0nXk9pq
GXaS5/YCv5B4q4T+j5pa2f+a61ygjN1YQRoZf2CHLe7Zq89Xv90nhPM4foWdNNkr <-----Root Certificate
/Esf1E6fnrItsXpIchQOmvQViis12YyUvwko2aidjVm9sML0ANiLJZSoQ9Zs/WGC
TLqwbQm6tNyFB8c=
-----END CERTIFICATE-----

9. root_signing_chain.cer という名前でファイルを保存します。

10. vSphere 6.0 Certificate Manager に戻り、[オプション 1] を選択します。 (Continue to importing Custom certificate(s) and key(s) for VMCA Root Signing certificate).

11. root_signing_chain.cer と vmca_issued_key.key へのフルパスを指定します。

例：

Platform Service Controller Appliance：

Please provide valid custom certificate for Root.
File : /tmp/ssl/root_signing_chain.cer

Please provide valid custom key for Root.
File : /tmp/ssl/vmca_issued_key.key

Windows Platform Service Controller：

Please provide valid custom certificate for Root.
File : C:\ssl\root_signing_chain.cer

Please provide valid custom key for Root.
File : C:\ssl\vmca_issued_key.key

12. 確認を求められたら [Yes] (Y) と答えて、次に進みます。

14. この Platform Services Controller をポイントしているあらゆる外部 vCenter Server ノードですべてのサービスを再起動します。vCenter Server サービスを再起動する方法については、「Stopping, starting, or restarting VMware vCenter Server 6.x services (2109881)」または「Stopping, starting, or restarting VMware vCenter Server Appliance 6.0 services (2109887)」を参照してください。

注：

外部 Platform Services Controller を実行している場合は、この記事の手順を実行した後に、外部 vCenter Server 6.0 上で vSphere 6.0 Certificate Manager を実行し、次のタスクを実行する必要があります。
- 3.マシンの SSL 証明書を VMCA 証明書に置き換えます。詳細については、「Replacing the vSphere 6.0 Machine SSL certificate with a VMware Certificate Authority issued certificate (2112279)」を参照してください。
- 6.ソリューションユーザー証明書を VMCA 証明書に置き換えます。詳細については、「How to replace the vSphere 6.0 Solution User certs with VMCA issued certs (2112281)」を参照してください。

Additional Information

Configuring the vSphere 6.0 U1b or later VMware Certificate Authority as a Subordinate Certificate Authority

Feedback

thumb_up Yes

thumb_down No