[vSphere 6.5/vSphere 7.0/vSphere 8.0]証明書更新手順
VMware vCenter Server Applianceで利用している、以下の証明書の更新方法を説明します。
vSphere 7.0、及びvSphere 8.0の場合は、「マシンSSL証明書、及びソリューションユーザ証明書の更新」のみ実施してください。
STS証明書の更新
【参考】
vSphere 6.5の場合のみ実施する手順です。
VMware vCenter Server Applianceで利用しているSTS証明書の更新方法を説明します。
なお、SSHでリモート接続するには、SSHクライアントソフトをご用意ください。本オンラインマニュアルでは、Windows用フリーソフトウェアとして配布されているターミナルエミュレータ「Tera Term」を使用した更新方法を説明します。
【注意】
- 本作業はVMware Directory Service(VMDIR)のデータベースと通信します。本手順を実行する前に、VMware vCenter Server Applianceのオフラインスナップショットを作成することを推奨します。
- 証明書を更新した後に、VMware vCenter Serverのサービスを再起動する必要があります。サービス再起動に伴い、VMware vCenter Server上で実行中のタスク、及び連携している各種製品のタスクのうちVMware vCenter Serverと通信が必要なタスクはすべてキャンセル、または失敗します。
1.以下のURLより「fixsts.sh」スクリプトをダウンロードします。
- 「"Signing certificate is not valid" error in VCSA 6.5.x,6.7.x or vCenter Server 7.0.x (76719)(https://kb.vmware.com/s/article/76719)」
【参考】
「fixsts.sh」スクリプトは、右カラムの「Attachments」のリンクから入手できます。「Attachments」が表示されない場合は、右カラムの「Language」を「English」に変更してください。
2.リモートデスクトップ接続を使用し、運用管理サーバへ接続します。
3.ダウンロードした「fixsts.sh」スクリプトを、運用管理サーバのローカルディスクへアップロードします。
【参考】
アップロード方法の詳細は「統合管理サーバ、または運用管理サーバのローカルディスクへのアップロード」をご参照ください。
4.「fixsts.sh」スクリプトをVMware vCenter Server Appliance上に転送します。STS証明書が有効期限内である場合は、手順5.に進んでください。
【参考】
STS証明書の有効期限が切れている場合は、手順5.~8.によるファイル転送方法は実行できません。
その場合は、SCPコマンドやSCPクライアントを使用してVMware vCenter Server Appliance上に「fixsts.sh」スクリプトを転送してください。
5.スタートボタンをクリックし、「Windows PowerShell」フォルダの「Windows PowerShell」を右クリックして、「管理者として実行する」をクリックします。
6.以下のコマンドを実行し、VMware vCenter Server Applianceに接続します。
PS> Connect-VIServer -Server <VMware vCenter Server ApplianceのIPアドレスまたはFQDN> -User administrator@vsphere.local -Password <administrator@vsphere.localのパスワード>
7.以下のコマンドを実行し、「fixsts.sh」スクリプトをVMware vCenter Server Applianceに転送します。
PS> Copy-VMGuestFile -VM <VMware vCenter Server Applianceの仮想マシン名> -LocalToGuest -Source <fixsts.shスクリプトのファイルパス> -Destination “/tmp/fixsts.sh” -GuestUser root -GuestPassword <VMware vCenter Server Applianceのrootユーザのパスワード>
8.以下のコマンドを実行し、Windows PowerShellを終了します。
PS> exit
9運用管理サーバからログオフします。
【参考】
運用管理サーバに「Tera Term」をインストールし、後続手順を実行する場合は、ログオフせずに次の手順へ進みます。
10.「Tera Term」を起動し、VMware vCenter Server Applianceに接続します。
【参考】
VMware vCenter Server Applianceに接続する方法については、「SSHによる接続」をご参照ください。
11. VMware vCenter Server Applianceに接続後、以下の画面が表示されるため、「shell」と入力し、Enterキーを押します。
12.以下のコマンドを実行し、「fixsts.sh」スクリプトが存在することを確認します。
# ls -l /tmp/fixsts.sh -rw-r--r-- 1 root root 9126 Aug 10 09:00 /tmp/fixsts.sh
13.以下のコマンドを実行し、「fixsts.sh」スクリプトに実行権限を付与します。
# chmod +x /tmp/fixsts.sh
14.以下のコマンドを実行し、「fixsts.sh」スクリプトを実行します。スクリプト実行後、administrator@vsphere.localのパスワードの入力を求められるため、パスワードを入力します。
15.「adding new entry」から始まる2行、及び「Replacement finished」が表示されることを確認します。
16.更新した証明書を適用するため、以下のコマンドを実行し、VMware vCenter Serverのサービスを停止します。
# service-control --stop --all
【参考】
service-controlコマンドの詳細については、VMware社が提供するKnowledge Baseの「Stopping, starting, or restarting services in vCenter Server Appliance 6.5 (2147152)(https://kb.vmware.com/s/article/2147152)」をご覧ください。
17.以下のコマンドを実行し、VMware vCenter Serverのサービスを起動します。
# service-control --start --all
【参考】
マシンSSL証明書、またはソリューションユーザ証明書の有効期限が既に切れている場合は、一部サービスの起動に失敗します。その場合は、後続の「マシンSSL証明書、及びソリューションユーザ証明書の更新」をご確認いただき、有効期限が切れた証明書を更新してください。
18.STS証明書の有効期限が更新されていることを確認します。
マシンSSL証明書、及びソリューションユーザ証明書の更新
VMware vCenter Server Applianceで利用しているマシンSSL証明書、及びソリューションユーザ証明書を更新する方法を説明します。
なお、SSHでリモート接続するには、SSHクライアントソフトをご用意ください。本オンラインマニュアルでは、Windows用フリーソフトウェアとして配布されているターミナルエミュレータ「Tera Term」を使用して更新する方法を説明します。
【注意】
証明書を更新した後に、VMware vCenter Serverのサービスが自動的に再起動されます。サービス再起動に伴い、VMware vCenter Server上で実行中のタスク、及び連携している各種製品のタスクのうちVMware vCenter Serverと通信が必要なタスクはすべてキャンセル、または失敗します。
1.「Tera Term」を起動し、VMware vCenter Server Applianceに接続します。
【参考】
VMware vCenter Server Applianceに接続する方法の詳細は、「SSHによる接続」をご参照ください。
2.VMware vCenter Server Applianceに接続後、以下の画面が表示されるため、「shell」と入力し、Enterキーを押します。
3.以下のコマンドを実行し、vSphere Certificate Managerを起動します。
# /usr/lib/vmware-vmca/bin/certificate-manager
オプション選択画面が表示されます。
4.更新する証明書に応じて、「3」、または「6」を入力し、実行します。
Option[1 to 8]: <3、または6を入力>
更新する証明書 | 入力値 |
|---|---|
マシンSSL証明書 | 3 |
ソリューションユーザ証明書 | 6 |
【参考】
証明書の有効期限が切れている場合は、「8」を入力し、実行します。
5.「6」を入力した場合は、ソリューションユーザ証明書のすべてのSTOREを更新するか確認されるため、「Y」を入力し、実行します。「6」以外を入力した場合は、手順6.に進みます。
Do you wish to generate all certificates using configuration file : Option[Y/N] ? : Y
【注意】
バックアップセット/VWをご利用中の場合は、ルート証明書の更新(2及び4)は実施しないでください。ルート証明書の更新に伴い、全てのバックアップ、及びリストアが失敗します。
6.vCenter Single Sign-OnのAdministrator権限の認証情報を入力します。
Please provide valid SSO and VC priviledged user credential to perform certificate operations. Enter username [Administrator@vsphere.local]: Enter password:
項目 | 内容 |
|---|---|
username | administrator@vsphere.localを入力します。 |
password | administrator@vsphere.localのパスワードを入力します。 |
7.証明書の発行に必要な情報を入力します。各パラメータには「デフォルト値」、あるいはご利用の環境の情報を入力してください。
オプション選択画面が表示されます。
パラメータ | 内容 | デフォルト値 |
|---|---|---|
Country | 「JP」、または「US」を入力します。 | US |
Name | VMware vCenter Server ApplianceのFQDN、または「CA」を入力します。 | CA |
Organization | VMware vCenter Server Applianceを使用する組織名、または「VMware」を入力します。 | VMware |
OrgUnit | VMware vCenter Server Applianceを使用する部署名、または「VMware Engineering」を入力します。 | VMware Engineering |
State | VMware vCenter Server Applianceを使用する組織の所在地情報(都道府県名)、または「California」を入力します。 | California |
Locality | VMware vCenter Server Applianceを使用する組織の所在地情報(市区町村名)、または「Palo Alto」を入力します。 | Palo Alto |
IPAddress | VMware vCenter Server ApplianceのIPアドレスを入力することができます。本項目はオプション項目です。 | - |
任意のメールアドレスを入力します。 | email@acme.com | |
Hostname | VMware vCenter Server ApplianceのFQDNを入力します。 | - |
VMCA Name | VMware vCenter Server ApplianceのFQDNを入力します。 | - |
【注意】
「Hostname」欄で誤った値を入力した場合は、証明書の更新は正しく完了せず、環境が不安定な状態になる可能性があります。
【参考】
本手順を再度実施した場合は、前回の証明書発行時に入力した値を変更するか確認するメッセージが表示されます。設定値を変更したい場合は、「Y」を、前回の証明書発行時に入力した値をそのまま使用する場合は、「N」を入力し、実行します。
certool.cfg file exists, Do you wish to reconfigure : Option[Y/N] ? : <YまたはNを入力>
8.入力された値に誤りがないことを確認し、「Y」を入力し、実行します。
Continue operation : Option[Y/N] ? : Y
9.「Status : 100% Completed [All tasks completed successfully]」と表示されることを確認します。
10.マシンSSL証明書を更新した場合は、以下のコマンドを実行し、VMware vCenter Server Appliance管理インターフェイスを再起動します。再起動により、管理インターフェイス画面の証明書が更新されます。マシンSSL証明書を更新していない場合は、手順11.に進みます。
# /etc/init.d/vami-lighttp restart Restarting vami-lighttp (via systemctl): [ OK ] #
11.証明書の有効期限が更新されていることを確認します。
【参考】
- 証明書の有効期限の確認方法は、「証明書の有効期限の確認」をご参照ください。
- 証明書の更新時、VMware社が定める製品仕様により、更新前の証明書が自動的にバックアップされます。それに伴い、証明書更新前と比べ、「証明書の有効期限の確認」において確認できる証明書の種類が増えている場合があります。
12.証明書の更新時、更新前の証明書が自動的にバックアップされます。バックアップされた証明書の有効期限まで30日以内になった場合は、アラームが発生します。アラームは、バックアップされた証明書を削除することで抑止できます。削除方法は、「バックアップされた証明書の削除」をご参照ください。
(アラーム例) 「BACKUP_STORE」からの証明書「C=US,CN=ehv12345678vcsa.pri.p2.local」の有効期限は 2020-08-01 17:00:00.000 です。
【参考】
バックアップされた証明書の有効期限が切れても、VMware vCenter Server Applianceの動作に支障、及び影響はありません。