[vSphere 6.0]証明書更新手順
vSphere 6.0の場合の証明書の更新手順を説明します。
STS証明書の更新
VMware vCenter Serverで利用しているSTS証明書の更新方法を説明します。
【注意】
- 本作業はVMware Directory Service(VMDIR)のデータベースと通信します。本手順を実行する前に、統合管理サーバのバックアップを取得することを推奨します。
- 証明書を更新した後に、VMware vCenter Serverのサービスを再起動する必要があります。サービス再起動に伴い、VMware vCenter Server上で実行中のタスク、及び連携している各種製品のタスクのうちVMware vCenter Serverと通信が必要なタスクはすべてキャンセル、または失敗します。
1.新しいSTS証明書を生成します。以下のVMware Docsをご確認ください。
「vCenter Server Windows 環境での新しい STS 署名証明書の生成(https://docs.vmware.com/jp/VMware-vSphere/6.0/com.vmware.vsphere.security.doc/GUID-F9A0CA06-8875-4A66-BBBA-DB0C0143B5AE.html)」
【参考】
VMware Docsの手順について、以下の点に留意してください。
- 手順3.でcertool.cfgを編集する際は、IPAddress、及びHostnameに以下の値を入力してください。 IPAddress = 統合管理サーバのIPアドレス
Hostname = 統合管理サーバのFQDN(例:ehv00000000vc.pri.p2.local) - 手順6.を実施する前に、「C:\Program Files\VMware\vCenter Server\openSSL」フォルダを「C:\Program Files (x86)\VMware\OpenSSL」としてコピーします。
- 手順7.を実施した際に、「JKSキーストアは独自の形式を使用しています。」から始まる警告メッセージが表示されますが、動作に問題はありません。
また、「この証明書を信頼しますか。[いいえ]」と表示された場合は、「はい」、または「Y」を入力して実行してください。 - 手順7.で入力したパスワード(deststorepass、destkeypass)は、後続作業で使用します。
2.生成したSTS証明書をvCenter Serverに登録し、証明書の更新作業を行います。STS証明書の更新方法は、以下のVMware Docsをご確認ください。
- 「Security Token Service 証明書の更新(https://docs.vmware.com/jp/VMware-vSphere/6.0/com.vmware.vsphere.security.doc/GUID-62981EA9-FEDD-4803-9CB6-29552FE703B1.html)」
【参考】
VMware Docsの手順について、以下の点に留意してください。
手順3.で入力するパスワードは、「vCenter Server Windows 環境での新しい STS 署名証明書の生成」の手順7.で入力したパスワードです。
3.STS証明書の有効期限が更新されていることを確認します。
マシンSSL証明書、及びソリューションユーザ証明書の更新
VMware vCenter Serverで利用しているマシンSSL証明書、及びソリューションユーザ証明書を更新する方法を説明します。
【注意】
証明書を更新した後に、VMware vCenter Serverのサービスが自動的に再起動されます。サービス再起動に伴い、VMware vCenter Server上で実行中のタスク、及び連携している各種製品のタスクのうちVMware vCenter Serverと通信が必要なタスクはすべてキャンセル、または失敗します。
1.リモートデスクトップ接続を使用し、統合管理サーバへ接続します。
2.コマンドプロンプトを管理者権限で起動します。
3.以下のコマンドを実行し、vSphere Certificate Managerを起動します。
>"C:\Program Files\VMware\vCenter Server\vmcad\certificate-manager"
オプション画面が表示されます。
4.マシンSSL証明書を更新する場合は「3」を、ソリューションユーザ証明書を更新する場合は「6」を入力し、実行します。
Option[1 to 8]: <3、または6を入力>
5.「6」を入力した場合は、ソリューションユーザ証明書のすべてのSTOREを更新するか確認されるため、「Y」を入力し、実行します。「6」以外を入力した場合は、手順6.に進みます。
【注意】
バックアップセット/VWをご利用中の場合は、ルート証明書の更新(2及び4)は実施しないでください。ルート証明書の更新に伴い、すべてのバックアップ、及びリストアが失敗します。
6.vCenter Single Sign-OnのAdministrator権限の認証情報を入力します。
| 項目 | 内容 |
|---|---|
| username | administrator@vsphere.localを入力します。 |
| password | administrator@vsphere.localのパスワードを入力します。 |
7.証明書の発行に必要な情報を入力します。各パラメータには「デフォルト値」、あるいはご利用の環境の情報を入力してください。
| パラメータ | 内容 | デフォルト値 |
|---|---|---|
| Country | 「JP」、または「US」を入力します | US |
| Name | VMware vCenter ServerのFQDN、または「CA」を入力します。 | CA |
| Organization | VMware vCenter Serverを使用する組織名、または「VMware」を入力します。 | VMware |
| OrgUnit | VMware vCenter Serverを使用する部署名、または「VMware Engineering」を入力します。 | VMware Engineering |
| State | VMware vCenter Serverを使用する組織の所在地情報(都道府県名)、または「California」を入力します。 | California |
| Locality | VMware vCenter Serverを使用する組織の所在地情報(市区町村名)、または「Palo Alto」を入力します。 | Palo Alto |
| IPAddress | VMware vCenter ServerのIPアドレスを入力します。 | - |
| 任意のメールアドレスを入力します。 | email@acme.com | |
| Hostname | VMware vCenter ServerのFQDNを入力します。 | - |
| VMCA Name | VMware vCenter Server ApplianceのFQDNを入力します。 | - |
【注意】
「Hostname」欄で誤った値を入力した場合は、証明書の更新は正しく完了せず、環境が不安定な状態になる可能性があります。
8.入力した値に誤りがないことを確認し、「Y」を入力し、実行します。
9.「Status : 100% Completed [All tasks completed successfully]」と表示されることを確認します。
10.マシンSSL証明書を更新した場合は、vmdir証明書を更新します。マシンSSL証明書を更新していない場合は手順16.に進みます。
11.コマンドプロンプトで以下のコマンドを実行し、vmdir serviceを停止します。
> cd "C:\Program Files\VMware\vCenter Server\bin" > service-control --stop VMWareDirectoryService
12.C:\ProgramData\VMware\vCenterServer\cfg\vmdird\内のvmdircert.pemとvmdirkey.pemをバックアップします。
13.以下のコマンドを実行し、マシンSSL証明書をvmdird証明書としてコピーします。
> "C:\Program Files\VMware\vCenter Server\vmafdd\vecs-cli.exe" entry getcert --store machine --alias machine --output C:\ProgramData\VMware\vCenterServer\cfg\vmdird\vmdircert.pem > "C:\Program Files\VMware\vCenter Server\vmafdd\vecs-cli.exe" entry getkey --store machine --alias machine --output C:\ProgramData\VMware\vCenterServer\cfg\vmdird\vmdirkey.pem
14.以下のコマンドを実行し、vmdir serviceを起動します。
> cd "C:\Program Files\VMware\vCenter Server\bin" > service-control --start VMWareDirectoryService
15.以下のコマンドを実行し、vCenter Serverを再起動します。
> service-control --stop --all > service-control --start --all