「VxRail：mTLS対応クラスター内のVxRail Manager SSL証明書の要件

ユーザーは、VxRailプラグインUI関数に従って、VxRail Manager SSL証明書を置き換えることができます。VxRailセキュリティ標準を満たすには、証明書が以下の要件を満たしている必要があります。

1. 証明書は x509 バージョン 3 である必要があります。
2. SubjectAltName 次を含める必要があります DNS Name=machine_FQDN または IP=machine_IP (ディメンションの場合のみ)
3. サブジェクト キー識別子は必須です。
4. 証明書チェーン全体の署名アルゴリズムは、SHA256以上である必要があります。
5. パブリック認証局(CA)または企業CAを使用してVxRail Manager証明書に署名することをお勧めします(必須ではありません)。vLCM機能が有効になっている場合は、000190239 に従って、VxRail Manager証明書がvCenter署名済み証明書に置き換えられているかどうかを確認します。
6. VxRail 7.0.350リリース以降、VxRailのSSL/TLSセキュリティが強化されています。VxRail Manager SSL証明書の 「拡張キー使用法」 という新しい要件が追加されました。証明書「 拡張キー使用法」を確認するには、次の手順に従います。

Windowsの場合：証明書ファイル拡張子を crt 次に、 crt ファイルに移動し、「詳細」ページに移動します。

1. 次の2つのケースは、いずれもコンプライアンス ケースと見なされます
   1. 「拡張キー使用法」セグメントはありません。例：
        
       
   2. 「拡張キー使用法」セグメントがある場合、「サーバー認証」と「クライアント認証」は「拡張キー使用法」セグメントにある必要があります。例：
       

Linuxの場合：次のコマンドを実行します。 openssl x509 -in <target_cert> -noout -purpose

1. [SSL client]と[SSL server]の両方の値が[Yes]であることを確認します。

$ openssl x509 -in <target_cert> -noout -purpose
Certificate purposes:
SSL client : Yes
SSL client CA : No
SSL server : Yes
SSL server CA : No
Netscape SSL server : Yes
Netscape SSL server CA : No
S/MIME signing : No
S/MIME signing CA : No
S/MIME encryption : No
S/MIME encryption CA : No
CRL signing : No
CRL signing CA : No
Any Purpose : Yes
Any Purpose CA : Yes
OCSP helper : Yes
OCSP helper CA : No
Time Stamp signing : No
Time Stamp signing CA : No