[vSphere 6.5/vSphere 7.0/vSphere 8.0]証明書更新手順

VMware vCenter Server Applianceで利用している、以下の証明書の更新方法を説明します。

vSphere 7.0、及びvSphere 8.0の場合は、「マシンSSL証明書、及びソリューションユーザ証明書の更新」のみ実施してください。

STS証明書の更新
【参考】

vSphere 6.5の場合のみ実施する手順です。

VMware vCenter Server Applianceで利用しているSTS証明書の更新方法を説明します。

なお、SSHでリモート接続するには、SSHクライアントソフトをご用意ください。本オンラインマニュアルでは、Windows用フリーソフトウェアとして配布されているターミナルエミュレータ「Tera Term」を使用した更新方法を説明します。

【注意】

  • 本作業はVMware Directory Service(VMDIR)のデータベースと通信します。本手順を実行する前に、VMware vCenter Server Applianceのオフラインスナップショットを作成することを推奨します。
  • 証明書を更新した後に、VMware vCenter Serverのサービスを再起動する必要があります。サービス再起動に伴い、VMware vCenter Server上で実行中のタスク、及び連携している各種製品のタスクのうちVMware vCenter Serverと通信が必要なタスクはすべてキャンセル、または失敗します。

1. 以下のURLより「fixsts.sh」スクリプトをダウンロードします。

【参考】

「fixsts.sh」スクリプトは、ページ最下部の「Attachments」から入手できます。

2. リモートデスクトップ接続を使用し、運用管理サーバへ接続します。

3. ダウンロードした「fixsts.sh」スクリプトを、運用管理サーバのローカルディスクへアップロードします。

【参考】

アップロード方法の詳細は「統合管理サーバ、または運用管理サーバのローカルディスクへのアップロード」をご参照ください。

4. 「fixsts.sh」スクリプトをVMware vCenter Server Appliance上に転送します。STS証明書が有効期限内である場合は、手順5.に進んでください。

【参考】

STS証明書の有効期限が切れている場合は、手順5.~8.によるファイル転送方法は実行できません。

その場合は、SCPコマンドやSCPクライアントを使用してVMware vCenter Server Appliance上に「fixsts.sh」スクリプトを転送してください。

5. スタートボタンをクリックし、「Windows PowerShell」フォルダの「Windows PowerShell」を右クリックして、「管理者として実行する」をクリックします。

6. 以下のコマンドを実行し、VMware vCenter Server Applianceに接続します。

PS> Connect-VIServer -Server <VMware vCenter Server ApplianceのIPアドレスまたはFQDN> -User administrator@vsphere.local -Password <administrator@vsphere.localのパスワード>

7. 以下のコマンドを実行し、「fixsts.sh」スクリプトをVMware vCenter Server Applianceに転送します。

PS> Copy-VMGuestFile -VM <VMware vCenter Server Applianceの仮想マシン名> -LocalToGuest -Source <fixsts.shスクリプトのファイルパス> -Destination “/tmp/fixsts.sh” -GuestUser root -GuestPassword <VMware vCenter Server Applianceのrootユーザのパスワード>

8. 以下のコマンドを実行し、Windows PowerShellを終了します。

PS> exit

9. 運用管理サーバからログオフします。

【参考】

運用管理サーバに「Tera Term」をインストールし、後続手順を実行する場合は、ログオフせずに次の手順へ進みます。

10. 「Tera Term」を起動し、VMware vCenter Server Applianceに接続します。

【参考】

VMware vCenter Server Applianceに接続する方法については、「SSHによる接続」をご参照ください。

11. VMware vCenter Server Applianceに接続後、以下の画面が表示されるため、「shell」と入力し、Enterキーを押します。

12. 以下のコマンドを実行し、「fixsts.sh」スクリプトが存在することを確認します。

# ls -l /tmp/fixsts.sh
 -rw-r--r-- 1 root root 9126 Aug 10 09:00 /tmp/fixsts.sh

13. 以下のコマンドを実行し、「fixsts.sh」スクリプトに実行権限を付与します。

# chmod +x /tmp/fixsts.sh

14. 以下のコマンドを実行し、「fixsts.sh」スクリプトを実行します。スクリプト実行後、administrator@vsphere.localのパスワードの入力を求められるため、パスワードを入力します。

15. 「adding new entry」から始まる2行、及び「Replacement finished」が表示されることを確認します。

16. 更新した証明書を適用するため、以下のコマンドを実行し、VMware vCenter Serverのサービスを停止します。

# service-control --stop --all
【参考】

service-controlコマンドの詳細については、Broadcom社が提供するKnowledge Baseの「Stopping, starting, or restarting services in vCenter Server Appliance 6.5 and beyond(https://knowledge.broadcom.com/external/article?legacyId=2147152)」をご覧ください。

17. 以下のコマンドを実行し、VMware vCenter Serverのサービスを起動します。

# service-control --start --all
【参考】

マシンSSL証明書、またはソリューションユーザ証明書の有効期限が既に切れている場合は、一部サービスの起動に失敗します。その場合は、後続の「マシンSSL証明書、及びソリューションユーザ証明書の更新」をご確認いただき、有効期限が切れた証明書を更新してください。

18. STS証明書の有効期限が更新されていることを確認します。

【参考】

本手順ではリーフ証明書のみ更新されます。

証明書の有効期限の確認方法は、「証明書の有効期限の確認」をご参照ください。

マシンSSL証明書、及びソリューションユーザ証明書の更新

VMware vCenter Server Applianceで利用しているマシンSSL証明書、及びソリューションユーザ証明書を更新する方法を説明します。

なお、SSHでリモート接続するには、SSHクライアントソフトをご用意ください。本オンラインマニュアルでは、Windows用フリーソフトウェアとして配布されているターミナルエミュレータ「Tera Term」を使用して更新する方法を説明します。

【注意】

証明書を更新した後に、VMware vCenter Serverのサービスが自動的に再起動されます。サービス再起動に伴い、VMware vCenter Server上で実行中のタスク、及び連携している各種製品のタスクのうちVMware vCenter Serverと通信が必要なタスクはすべてキャンセル、または失敗します。

1. 「Tera Term」を起動し、VMware vCenter Server Applianceに接続します。

【参考】

VMware vCenter Server Applianceに接続する方法の詳細は、「SSHによる接続」をご参照ください。

2. VMware vCenter Server Applianceに接続後、以下の画面が表示されるため、「shell」と入力し、Enterキーを押します。

3. 以下のコマンドを実行し、vSphere Certificate Managerを起動します。

# /usr/lib/vmware-vmca/bin/certificate-manager

オプション選択画面が表示されます。

4. 更新する証明書に応じて、「3」、または「6」を入力し、実行します。

Option[1 to 8]: <3、または6を入力>

更新する証明書

入力値

マシンSSL証明書

3

ソリューションユーザ証明書

6

【参考】

証明書の有効期限が切れている場合は、「8」を入力し、実行します。

5. 「6」を入力した場合は、ソリューションユーザ証明書のすべてのSTOREを更新するか確認されるため、「Y」を入力し、実行します。「6」以外を入力した場合は、手順6.に進みます。

Do you wish to generate all certificates using configuration file : Option[Y/N] ? : Y
【注意】

バックアップセット/VWをご利用中の場合は、ルート証明書の更新(2及び4)は実施しないでください。ルート証明書の更新に伴い、全てのバックアップ、及びリストアが失敗します。

6. vCenter Single Sign-OnのAdministrator権限の認証情報を入力します。

Please provide valid SSO and VC priviledged user credential to perform certificate operations.
Enter username [Administrator@vsphere.local]:
Enter password:

項目

内容

username

administrator@vsphere.localを入力します。

password

administrator@vsphere.localのパスワードを入力します。

7. 証明書の発行に必要な情報を入力します。各パラメータには「デフォルト値」、あるいはご利用の環境の情報を入力してください。

オプション選択画面が表示されます。

パラメータ

内容

デフォルト値

Country

「JP」、または「US」を入力します。

US

Name

VMware vCenter Server ApplianceのFQDN、または「CA」を入力します。

CA

Organization

VMware vCenter Server Applianceを使用する組織名、または「VMware」を入力します。

VMware

OrgUnit

VMware vCenter Server Applianceを使用する部署名、または「VMware Engineering」を入力します。

VMware Engineering

State

VMware vCenter Server Applianceを使用する組織の所在地情報(都道府県名)、または「California」を入力します。

California

Locality

VMware vCenter Server Applianceを使用する組織の所在地情報(市区町村名)、または「Palo Alto」を入力します。

Palo Alto

IPAddress

VMware vCenter Server ApplianceのIPアドレスを入力することができます。本項目はオプション項目です。

-

Email

任意のメールアドレスを入力します。

email@acme.com

Hostname

VMware vCenter Server ApplianceのFQDNを入力します。

-

VMCA Name

VMware vCenter Server ApplianceのFQDNを入力します。

-

【注意】

「Hostname」欄で誤った値を入力した場合は、証明書の更新は正しく完了せず、環境が不安定な状態になる可能性があります。

【参考】

本手順を再度実施した場合は、前回の証明書発行時に入力した値を変更するか確認するメッセージが表示されます。設定値を変更したい場合は、「Y」を、前回の証明書発行時に入力した値をそのまま使用する場合は、「N」を入力し、実行します。

certool.cfg file exists, Do you wish to reconfigure : Option[Y/N] ? : <YまたはNを入力>

8. 入力された値に誤りがないことを確認し、「Y」を入力し、実行します。

Continue operation : Option[Y/N] ? : Y

9. 「Status : 100% Completed [All tasks completed successfully]」と表示されることを確認します。

10. マシンSSL証明書を更新した場合は、以下のコマンドを実行し、VMware vCenter Server Appliance管理インターフェイスを再起動します。再起動により、管理インターフェイス画面の証明書が更新されます。マシンSSL証明書を更新していない場合は、手順11.に進みます。

# /etc/init.d/vami-lighttp restart
  Restarting vami-lighttp (via systemctl): [ OK ]
 #

11. 証明書の有効期限が更新されていることを確認します。

【参考】

  • 証明書の有効期限の確認方法は、「証明書の有効期限の確認」をご参照ください。
  • 証明書の更新時に、Broadcom社が定める製品仕様により、更新前の証明書が自動的にバックアップされます。それに伴い、証明書更新前と比べ、「証明書の有効期限の確認」において確認できる証明書の種類が増えている場合があります。

12. 証明書の更新時、更新前の証明書が自動的にバックアップされます。バックアップされた証明書の有効期限まで30日以内になった場合は、アラームが発生します。アラームは、バックアップされた証明書を削除することで抑止できます。削除方法は、「バックアップされた証明書の削除」をご参照ください。

(アラーム例)
「BACKUP_STORE」からの証明書「C=US,CN=ehv12345678vcsa.pri.p2.local」の有効期限は 2020-08-01 17:00:00.000 です。
【参考】

バックアップされた証明書の有効期限が切れても、VMware vCenter Server Applianceの動作に支障、及び影響はありません。

13. バックアップセット/VW、VMware NSX、及びVMware vSphere Replicationをご利用の場合は、「VMware vCenter Serverと連携している製品の対応」の手順を実施してください。