カスタム証明書を使用したDell VxRailのアップデート(お客様による修正が可能)
概要: Dell VxRail環境でお客様証明書に置き換えるための詳細なガイダンスです。vSphereは、証明書を使用して通信を暗号化し、サービスを認証し、トークンに署名することでセキュリティを提供します。
手順
vSphereでは、次の目的で証明書を使用します。
- vCenter ServerとESXiホストなど、2つのノード間の通信を暗号化する
- vSphereサービスを認証する
- トークンの署名などの内部アクションを実行する
vSphereの内部認証局であるVMware Certificate Authority (VMCA)は、vCenter ServerとESXiに必要なすべての証明書を提供します。VMCAはすべてのPlatform Services Controllerにインストールされ、他の変更を行わずにソリューションをただちに保護します。このデフォルト構成を維持すると、証明書管理の運用オーバーヘッドが最小限に抑えられます。vSphereは、これらの証明書の有効期限が切れた場合に更新するメカニズムを提供します。
vSphereには、特定の証明書を独自の証明書に置き換えるメカニズムも用意されています。ただし、証明書管理のオーバーヘッドを低く抑えるために、ノード間の暗号化を提供するSSL証明書のみを置き換えることをお勧めします。
カスタム証明書の統合
vSphere環境は柔軟性に優れており、お客様は、会社のポリシーによって義務付けられることのある、カスタムSSL証明書を使用することができます。次の手順では、VxRail環境内のさまざまなコンポーネントの証明書を変更する手順について説明します。
- VxRail Managerの自己署名証明書の置き換え
- この手順には、SolVeオンラインポータルからアクセスできます。['How To' Procedures]>['How To' Change other VxRail Cluster settings]>[ Choose your current VxRail Manager version]>[Replace the VxRail Manager SSL Certificate]に移動して、手順を生成します。ポータルにアクセスできない場合は、Dellサポートにお問い合わせください。証明書署名リクエストの作成および受信した証明書ファイルの変更に関するガイダンスについては、KB記事「VxRail:VxRail Managerの新しい証明書を申請する方法(英語)」を参照してください。
- カスタム認証局(CA)署名済み証明書を使用したvCenter Server証明書の置き換え
- VMwareで入手可能なガイド:「Generate Certificate Signing Requests with vSphere Certificate Manager (Custom Certificates)
」に従ってください。
- 証明書マネージャーを使用した証明書の交換プロセスの概要については、VMware KB「Replacing a vSphere 6.x /7.x Machine SSL certificate with a Custom Certificate Authority Signed Certificate (2112277)」を参照してください
- PSCを使用してカスタム署名付き証明書を生成する方法については、KB記事「Dell VxRail:PSCでCSR(証明書署名リクエスト)と秘密キーを生成する方法」を参照してください。
- VMwareで入手可能なガイド:「Generate Certificate Signing Requests with vSphere Certificate Manager (Custom Certificates)
- カスタム証明書の統合後のVxRail ManagerとvCenter Server間の信頼の手動再確立
- vCenter Server証明書を置き換える場合は、両方のエンティティ間の信頼を再確立できるように、VxRail Manager VMで新しい証明書を手動で更新する必要があります。これを実現するには、KB記事「VxRail:VxRail ManagerでvCenter SSL証明書を手動でインポートする方法」に従ってください。
- ESXiホストのSSL証明書を置き換える
- ESXi証明書署名リクエストの要件は、VMwareで参照できます(https://docs.vmware.com/en/VMware-vSphere/6.7/com.vmware.vsphere.security.doc/GUID-0AE0B563-59D6-45A5-BF46-6FE68607687B.html)
- vSAN環境のESXiホストでカスタム証明書を使用するように切り替えるには、VMware KB「Adding Custom Certificate on ESXi hosts through CLI (56441)」に従ってください。
- ESXi証明書署名リクエストの要件は、VMwareで参照できます(https://docs.vmware.com/en/VMware-vSphere/6.7/com.vmware.vsphere.security.doc/GUID-0AE0B563-59D6-45A5-BF46-6FE68607687B.html)
- vRealize Log Insight証明書の置き換え
注:サード パーティー製ツールを使用した証明書署名リクエスト(CSR)の生成、または社内のCAを使用した署名は、Dellサポートではサポートされていません。
証明書の交換中に問題が発生した場合は、Dellサポートにお問い合わせください。
その他の情報
関連リソース
ここでは、このトピックに関連した役立つ可能性のある推奨リソースをいくつか紹介します。
ここでは、このトピックに関連した役立つ可能性のある推奨リソースをいくつか紹介します。
対象製品
VxRail, VxRail Appliance Family製品
VxRail Appliance Family文書のプロパティ
文書番号: 000019755
文書の種類: How To
最終更新: 27 4月 2024
バージョン: 10
質問に対する他のDellユーザーからの回答を見つける
サポート サービス
お使いのデバイスがサポート サービスの対象かどうかを確認してください。
文書のプロパティ
文書番号: 000019755
文書の種類: How To
最終更新: 27 4月 2024
バージョン: 10
質問に対する他のDellユーザーからの回答を見つける
サポート サービス
お使いのデバイスがサポート サービスの対象かどうかを確認してください。