vCenter Server ルート証明書をダウンロードしてインストールして、Web ブラウザ証明書の警告を防ぐ方法
search cancel

vCenter Server ルート証明書をダウンロードしてインストールして、Web ブラウザ証明書の警告を防ぐ方法

book

Article ID: 343236

calendar_today

Updated On:

Products

VMware vCenter Server VMware vSphere ESXi

Issue/Introduction

vSphere Web Client を使用して vCenter Server システムに接続する場合、Web ブラウザに次のようなメッセージが表示されます。
  • Web サイトのこのセキュリティ証明書には問題がある (There is a problem with this website's security certificate)
  • 接続がプライベートでない (The connection is not private)
  • この接続は信頼されていない (This connection is untrusted)
  • ERR_CERT_AUTHORITY_INVALID
  • NET:ERR_CERT_AUTHORITY_INVALID
厳密なメッセージは、使用する Web ブラウザによって異なります。この問題を解決するには、ルート証明書をターゲットの vCenter Server からダウンロードして、vSphere Web Client にアクセスするブラウザを実行しているマシンにインストールする必要があります。


Symptoms:
免責事項:これは英文の記事「How to download and install vCenter Server root certificates to avoid Web Browser certificate warnings (2108294)」の日本語訳です。記事はベストエフォートで翻訳を進めているため、ローカライズ化コンテンツは最新情報ではない可能性があります。最新情報は英語版の記事で参照してください。

Environment

VMware vCenter Server Appliance 6.0.x
VMware vSphere ESXi 6.0
VMware vCenter Server 6.0.x

Resolution

この問題の解決方法は、サイトの環境、VMware 認証局 (VMCA) が中間証明書かどうか、Web ブラウザでオペレーティング システム証明書ストアを使用するのか(Internet Explorer、Chrome)、または独自の証明書ストアを管理するのか (Firefox) などによって異なります。

小規模展開における証明書のダウンロード

使用する環境に以下のような特徴がある場合は、ここに記載する手順を使用してください。
  • Windows でオペレーティング システムの証明書ストアを使用する Web ブラウザ(Internet Explorer や Google Chrome など)。
  • vCenter Server のインストールに接続する 1 つか 2 つのクライアント マシンがある小規模な展開。
  • デフォルト証明書かカスタム証明書を使用します。

VMware 認証局 (VMCA) ルート証明書とリーフ証明書をダウンロードしてから、vCenter Server システムに接続しているシステムのオペレーティング システム ルート ストアに追加することができます。

  1. クライアント システムの Web ブラウザから、vCenter Server システムまたは vCenter Server 仮想アプライアンスの URL に移動します。
  2. 右側にあるグレーのボックスの下にある [信頼されたルート CA 証明書をダウンロード] リンクをクリックし、ファイルをダウンロードします。
  3. ファイルの拡張子を .zip に変更します。
    ファイルは、VMware Endpoint 証明書ストア (VECS) のすべてのルート証明書およびすべての CRL の ZIP ファイルです。
  4. ZIP ファイルの内容を展開します。
    結果は .certs フォルダで、2 種類のファイルが含まれます。拡張子に数字を持つファイル(.0.1 など)は、ルート証明書です。拡張子が r で始まるファイル(.r0.r1、など)は、証明書に関連付けられている CRL ファイルです。
  5. 使用するオペレーティング システムに該当する以下の手順を実行して、証明書ファイルを信頼性のある証明書としてインストールします。
    ほとんどの Microsoft Windows システムの場合は、https://technet.microsoft.com/ja-jp/library/cc754841.aspx の指示に従うことができます。

Firefox には独自の信頼ルート ストアがあり、オペレーティング システムのストアは使用しません。Firefox を使用している場合は、前述のように証明書をダウンロードしてから、[ツール] > [オプション] を選択し、[詳細] をクリックし、[証明書] をクリックして、証明書を Firefox にインポートします。

中間認証局として VMware 認証局 (VMCA) を使用する展開における Active Directory グループ ポリシー アップデート

使用する環境に以下のような特徴がある場合は、ここに記載する手順を使用してください。

  • Windows でオペレーティング システムの証明書ストアを使用する Web ブラウザ(Internet Explorer や Google Chrome など)。
  • vCenter Server システムは、さまざまなマシンからアクセスされます。
  • VMware 認証局 (VMCA) は、中間 CA としてセットアップされます。

ルート証明書は、Active Directory 環境のグループ ポリシーにインポートして、Active Directory ドメインで証明書を信頼性のあるものとすることができます。証明書を信頼済みにすると、Active Directory ドメインの一部であるどのマシンでも、ブラウザのエラーは表示されなくなります。

  1. クライアント システムの Web ブラウザから、vCenter Server システムまたは vCenter Server 仮想アプライアンスの URL に移動します。
  2. 右側にあるグレーのボックスの下にある [信頼されたルート CA 証明書をダウンロード] リンクをクリックし、ファイルをダウンロードします。
  3. ファイルの拡張子を .zip に変更します。
    ファイルは、VMware Endpoint 証明書ストア (VECS) のすべてのルート証明書およびすべての CRL の ZIP ファイルです。
  4. ZIP ファイルを展開します。
    結果は .certs フォルダで、2 種類のファイルが含まれます。拡張子が数字のファイル(.0.1 など)は、ルート証明書です。拡張子を .crt に変更します。拡張子が r で始まるファイル(.r0. r1、など)は、証明書に関連付けられている CRL ファイルです。拡張子を .crl に変更します。
  5. Active Directory グループ ポリシー管理エディターを開きます。
  6. [公開鍵ポリシー] を開き、[中間認証局] を選択します。
  7. 証明書ファイルか、ダウンロードしたファイルを追加します。
  8. Windows のコマンド プロンプトから、gpupdate /force を実行して、アップデートを強制実行します。

Firefox には独自の信頼ルート ストアがあり、オペレーティング システムのストアは使用しません。Firefox を使用している場合は、前述のように証明書をダウンロードしてから、[ツール] > [オプション] を選択し、[詳細] をクリックし、[証明書] をクリックして、証明書を Firefox にインポートします。

カスタム証明書または VMware 認証局 (VMCA) 署名証明書を使用した展開における Active Directory グループ ポリシー アップデート

使用する環境に以下のような特徴がある場合は、ここに記載する手順を使用してください。

  • Windows でオペレーティング システムの証明書ストアを使用する Web ブラウザ(Internet Explorer や Google Chrome など)。
  • vCenter Server システムは、さまざまなマシンからアクセスされます。
  • 環境内で信頼されていない CA からのルート証明書を使用します。CA は、VMware 認証局 (VMCA)、または信頼されていないその他の CA です。
ルート証明書は、Active Directory 環境のグループ ポリシーにインポートして、Active Directory ドメインで証明書を信頼性のあるものとすることができます。この操作を実行すると、Active Directory ドメインの一部であるどのマシンでも、ブラウザのエラーは表示されなくなります。
  1. クライアント システムの Web ブラウザから、vCenter Server システムまたは vCenter Server 仮想アプライアンスの URL に移動します。
  2. 右側にあるグレーのボックスの下にある [信頼されたルート CA 証明書をダウンロード] リンクをクリックし、ファイルをダウンロードします。
  3. ファイルの拡張子を .zip に変更します。
    ファイルは、VMware Endpoint 証明書ストア (VECS) のすべてのルート証明書およびすべての CRL の ZIP ファイルです。
  4. ZIP ファイルの内容を展開します。
    結果は .certs フォルダで、2 種類のファイルが含まれます。拡張子が数字のファイル(.0.1 など)は、ルート証明書です。拡張子を .crt に変更します。拡張子が r で始まるファイル(.r0. r1、など)は、証明書に関連付けられている CRL ファイルです。拡張子を .crl に変更します。
  5. Active Directory グループ ポリシー管理エディターを開きます。
  6. [公開鍵ポリシー] を開き、[信頼できるルート証明書の認証局] を選択します。
  7. 証明書ファイルか、ダウンロードしたファイルを追加します。
  8. Windows のコマンド プロンプトから、gpupdate /force を実行して、アップデートを強制実行します。

Firefox には独自の信頼ルート ストアがあり、オペレーティング システムのストアは使用しません。Firefox を使用している場合は、前述のように証明書をダウンロードしてから、[ツール] > [オプション] を選択し、[詳細] をクリックし、[証明書] をクリックして、証明書を Firefox にインポートします。


Additional Information

How to download and install vCenter Server root certificates to avoid Web Browser certificate warnings