2.5.1　VMwareの場合

監視対象の仮想環境がVMwareの場合，PFM - RM for Virtual Machineと仮想環境間の通信をSSL^※1によって暗号化できます。仮想環境との通信にSSLを使用する場合，次に示すように信頼された証明書として扱えるようにする必要があります。

VMware ESXにCA署名された証明書の組み込み
PFM - RM for Virtual Machineを運用するホストにCA証明書の組み込み

ここでは，証明書を信頼された証明書として扱えるようにする手順を説明します。なお，この手順は監視対象ごとに実施してください。また，監視対象のホスト名を変更した場合は，新しい証明書を発行して，VMware ESXに証明書を組み込み直してください。

注※1

SSL通信で使用するプロトコルは，インスタンス環境の設定でHostUserIDに指定しているユーザーの「インターネットオプション」の設定を使用します。

設定を変更する場合は，HostUserIDに指定しているユーザーでPFM - RM for Virtual Machineが導入されているホストにログイン後，「インターネットオプション」ダイアログの「詳細設定」タブを選択し，セキュリティの項目にあるチェックボックスの設定を変更してください。

SSL 3.0での通信を使用したくない場合は，「SSL 3.0を使用する」のチェックボックスをオフにし，代わりに「TLS 1.0を使用する」，「TLS 1.1の使用」および「TLS 1.2の使用」のチェックボックスをオンにしてください。

注意事項

VMware ESX 4.0以降のVMwareのデフォルト証明書を使用して運用する場合は，次に示す項目に対応した環境で使用してください。また，VMware ESX 4.0以降のVMwareのデフォルト証明書は，信頼された証明書としては扱えないため，(1)〜(3)に記載の手順を実施する必要はありません。

WindowsUpdateサイトへの通信ができない環境の対応

証明書を使用した通信では，Windowsのルート証明書の更新機能が動作します。ルート証明書の更新機能は，証明書の検証時にWindowsUpdateサイトから情報をダウンロードすることで最新の情報で検証を行います。ルート証明書の更新機能が有効な場合，PFM - RM for Virtual Machineを運用するホストからWindows Updateサイトへの通信ができない環境では，証明書の検証に時間が掛かる場合があります。この場合は，Windowsのルート証明書の更新機能が動作するようにネットワーク環境の見直しを行うか，または，Windowsのルート証明書の更新機能がWindowsUpdateサイトへ通信しないよう，Windowsの設定（OSのセキュリティポリシー）を変更してください。

証明書の検証に時間が掛かる場合，共通メッセージログにKAVL20014-W 警告メッセージを出力し，監視はできません。
共通メッセージログに出力されるKAVL20205-W 警告メッセージを無視する

CA署名されていない証明書は正しい証明書ではないため，共通メッセージログにKAVL20205-W 警告メッセージを出力しますので無視して運用できることを確認してください。
信頼できない証明書での運用

VMwareのデフォルト証明書は，証明書の検証で信頼できない証明書として判断されます。信頼できない証明書で運用しても問題ないことを確認してください。

〈この項の構成〉

(1)　VMware ESXの証明書の更新
(2)　VMware用証明書の入手手順
(3)　証明書のインポート

(1)　VMware ESXの証明書の更新

VMware ESX 4.0以降のデフォルトで作成される証明書はCA署名されていません。VMwareの下記ドキュメントを参考に，VMware ESX内の証明書をCA署名された証明書に入れ替えてください。

VMware ESX 3.5の場合は，デフォルトで作成される証明書がCA署名されているため，この手順を実施する必要はありません。

VMware ESX 4.0の場合

VMware vSphere 4.0 テクニカルノート

Replacing vCenter Server Certificates

VMware ESX 4.1の場合

VMware vSphere 4.1 テクニカルノート

Replacing vCenter Server Certificates

VMware ESX 5の場合

vSphere 5 Documentation Center - vSphere セキュリティ

デフォルトのホスト証明書とCA署名付き証明書との置き換え

注　なお，上記のドキュメントは予告なく変更されることがあります。詳細については，VMwareサポートに確認してください。

ページの先頭へ

(2)　VMware用証明書の入手手順

VMware ESX 4.0以降の場合は(1)の手順で使用したCA証明書を準備してください。

VMware ESX 3.5の場合は，次の手順に従って証明書を取得してください。

ここでは，Internet Explorer 7を利用した場合の証明書の入手手順を説明します。

Internet Explorer 8，Internet Explorer 9，Internet Explorer 10，およびInternet Explorer 11の場合も同じ手順で入手できます。

Internet Explorer 7で「https://vmhost」にアクセスする。

「vmhost」には，監視対象のホスト名を入力してください。ここでは，「vmhost」を例にして説明します。
アドレスバーの右に表示されている，アイコン（SSL認証）をクリックする。

［Webサイトの識別］プルダウンメニューが表示されます。
［証明書の表示］をクリックする。

［証明書］ダイアログが表示されます。
［詳細］タブを選択して，［ファイルにコピー］ボタンをクリックする。

［証明書のエクスポートウィザード］ダイアログが表示されます。
［次へ］ボタンをクリックする。
［DER encoded binary X509 (CER)］を選択して，［次へ］ボタンをクリックする。
［ファイル名］テキストボックスに，証明書の保存ファイル名を任意で指定して，［次へ］ボタンをクリックする。

ここでは，例として「C:\VM_Host.cer」と入力します。
［完了］ボタンをクリックする。
［OK］ボタンをクリックする。

ページの先頭へ

(3)　証明書のインポート

VMware用証明書の入手手順で準備したCA証明書をPFM-VMホストにインポートします。

Windowsの［スタート］−［ファイル名を指定して実行］を選択する。

［ファイル名を指定して実行］ダイアログが表示されます。
［ファイル名を指定して実行］ダイアログに「mmc」と入力して［OK］ボタンをクリックする。

Management Consoleが起動します。
［コンソール1］で［ファイル］−［スナップインの追加と削除］を選択する。

［スナップインの追加と削除］ダイアログが表示されます。
［追加］ボタンをクリックする。

［スタンドアロンスナップインの追加］ダイアログが表示されます。
［利用できるスタンドアロンスナップイン］から［証明書］を選択し，［追加］ボタンをクリックする。

［証明書スナップイン］ダイアログが表示されます。
［コンピュータアカウント］を選択し，［次へ］ボタンをクリックする。

［コンピュータの選択］ダイアログが表示されます。
［ローカルコンピュータ］を選択し，［完了］ボタンをクリックする。
［スタンドアロンスナップインの追加］ダイアログで［閉じる］ボタンをクリックする。
［スナップインの追加と削除］ダイアログで［OK］ボタンをクリックする。
［コンソール１］で，左ペインの［コンソールルート］−［証明書（ローカルコンピュータ）］を選択する。
［コンソール1］の右ペインで［信頼されたルート証明機関］を右クリックし，［すべてのタスク］−［インポート］を選択する。

［証明書のインポートウィザード］ダイアログが表示されます。
［次へ］ボタンをクリックする。
［ファイル名］テキストボックスに，証明書の保存ファイル名を入力し，［次へ］ボタンをクリックする。
［証明書をすべて次のストアに配置する］を選択し，［次へ］ボタンをクリックする。
［完了］ボタンをクリックする。
［OK］ボタンをクリックする。
注意事項
この手順に従って証明書を組み込んでも問題が発生する場合，入手した証明書が有効であるかどうかを確認してください。有効であるかどうかは，次の項目で確認できます。
- 有効期間
- 発行先（VMwareが稼働するホストのホスト名と同じホスト名が設定されているか）
証明書に問題がある場合，VMware側で証明書を再作成して，再度この手順に従って証明書を組み込んでください。なお，証明書の作成方法については，VMwareのマニュアルを参照してください。