この記事では、vSphere 6.x Certificate Manager を使用する場合と方法について説明します。

1. デフォルト証明書を実装する（オプション 4 を使用）
   
   
   • このオプションは、内部 CA（Microsoft Windows CA）または商業認証局（Verisign、GoDaddy など）で署名されたカスタム CA 証明書を実装する計画がない場合に使用できます。
   • この環境では、vSphere 証明書が VMware 認証局 (VMCA) によって生成および発行されて、vSphere エンドポイント証明書ストア (VECS) で保存されます。
   • デフォルトでは、これらの証明書が信頼されていません。
     
     
2. VMware 認証局 (VMCA) 証明書をカスタム CA 証明書に置き換える（オプション 2 を使用）
   
   
   
   • この環境では、内部 CA (Microsoft Windows CA) または商業認証局（Verisign や GoDaddy など）のカスタム CA 証明書およびキーでデフォルトの VMware 認証局 (VMCA) 証明書およびキーを置き換えます。
   • その後、VMware 認証局 (VMCA) は以前にインポートしたカスタム CA 証明書およびキーで署名される新しい vSphere 証明書を生成するために使用されます。
   • VMCA によって発行されるこれらの証明書は信頼されます。
     
     
3. カスタム CA 証明書およびキーですべての vSphere 証明書およびキーを置き換える（オプション 5 を使用）
   
   
   
   • この環境では、内部 CA (Microsoft Windows CA) または商業認証局（Verisign や GoDaddy など）のいずれかで署名されたカスタム CA 証明書でマシン証明書およびすべてのソリューション ユーザー証明書を置き換えます。
   • VMCA は証明書を発行しません。
     

vSphere 6.x Certificate Manager を起動するには、コマンド プロンプトを使用して、次のコマンドを実行します。

• Windows vCenter Server：C:\Program Files\VMware\vCenter Server\vmcad\certificate-manager
• vCenter Server Appliance: /usr/lib/vmware-vmca/bin/certificate-manager

1. マシン SSL 証明書をカスタム CA 証明書と置き換える
   
   マシン SSL 証明書では、サブオプションを指定して、マシン SSL 証明書の証明書署名要求およびキーを生成するサブオプションが表示されます。
   
   必要な情報：
   
   
   • [email protected] のパスワード
   • マシン証明書のカスタム証明書およびキーへのパス
   • VMware 認証局 (VMCA) ルートのカスタム証明書のパス
     
     

2. カスタム CA 署名証明書で VMware 認証局 (VMCA) ルート証明書を置き換え、すべての証明書を置き換える
   
   VMware 認証局 (VMCA) ルート署名証明書の証明書署名要求およびキーを生成するサブオプションが表示されます。
   
   必要な情報：

   • [email protected] のパスワード
   • certool.cfg ファイル（証明書の生成時に VMware 認証局 (VMCA) によって使用される）の構成
   • ルート署名証明書
   • ルート署名キー

任意の情報：

• カスタム CA ですべてのソリューション ユーザー証明書を置き換えますか。
  
  
  • はい：ソリューション ユーザー（vpxd、vpxd-extension、vsphere-webclient、マシン）用のカスタム証明書とキーのパス。
    注：後でオプション 5 を使用して、この手順を実行することもできます。
  • いいえ：VMware 認証局 (VMCA) により、指定したカスタム CA 署名証明書を使用してソリューション ユーザー用の新しい証明書/キーが生成されます。
    注：後でオプション 6 を使用して、この手順を実行することもできます。
    
    
• カスタム CA でマシン SSL 証明書を置き換えますか。
  
  
  • はい：マシン証明書のカスタム証明書およびキーへのパス
    注：後でオプション 1 を使用して、この手順を実行することもできます。
  • いいえ：VMware 認証局 (VMCA) により、指定したカスタム CA 署名証明書を使用してマシンの新しい証明書/キーが生成されます。
    注：後でオプション 3 を使用して、この手順を実行することもできます。

3. VMware 認証局 (VMCA) によって生成された証明書でマシン SSL 証明書を置き換える
   
   必要な情報：
   
   
   • [email protected] のパスワード
   • certool.cfg ファイル（証明書の生成時に VMware 認証局 (VMCA) によって使用される）の構成
     
     
4. 新しいデフォルトの VMware 認証局 (VMCA) ルート証明書を再生成し、すべての証明書を置き換える
   
   必要な情報：
   
   
   • [email protected] のパスワード
   • certool.cfg ファイル（証明書の生成時に VMware 認証局 (VMCA) によって使用される）の構成
     
     

5. カスタム CA 証明書でソリューション ユーザー証明書を置き換える
   
   必要な情報：

   • [email protected] のパスワード
   • カスタム ルート CA 証明書へのパス
   • vpxd ソリューション ユーザーのカスタム証明書およびキーへのパス
   • vpxd-extension ソリューション ユーザーのカスタム証明書およびキーへのパス
   • vSphere Web クライアント ソリューション ユーザーのカスタム証明書およびキーのパス
   • マシン ソリューション ユーザーのカスタム証明書およびキーへのパス
     
     
6. VMware 認証局 (VMCA) によって生成された証明書でマシン SSL 証明書およびソリューション ユーザー証明書を置き換える
   
   必要な情報：
   
   [email protected] のパスワード
   
   
7. 古い証明書を再発行して最後に実行した操作を元に戻す
   
   
8. すべての証明書のリセット
   
   必要な情報：
   
   
   • [email protected] のパスワード
   • certool.cfg ファイル（証明書の生成時に VMware 認証局 (VMCA) によって使用される）の構成

• vSphere 6.x Certificate Manager では、certificate-manager.log ファイルが次の場所に格納されます。
  
  
  • Windows vCenter Server 6.x： C:\ProgramData\VMware\vCenterServer\logs\vmca\certificate-manager.log
  • vCenter Server Appliance 6.x： /var/log/vmware/vmcad/certificate-manager.log
    
    
• certool.cfg ファイルは次の場所にあります。
  
  C:\Program Files\VMware\vCenter Server\vmcad\certool.cfg
  
  
• vCenter Server Appliance および Platform Service Controler Appliance の構成ファイルの場所：
  
  
  • vCenter Server Appliance: /usr/lib/vmware-vmca/share/config/certool.cfg
  • Platform Service Controller Appliance：/usr/lib/vmware-vmca/share/config/certool.cfg