9.11.2 証明書の更新

STS証明書の更新

VMware vCenter Serverで利用しているSTS証明書の更新方法を説明します。

注 意
  • 本作業はVMware Directory Service(VMDIR)のデータベースと通信します。本手順を実行する前に、統合管理サーバのバックアップを取得することを推奨します。
  • 証明書を更新した後に、VMware vCenter Serverのサービスを再起動する必要があります。サービス再起動に伴い、VMware vCenter Server上で実行中のタスク、及び連携している各種製品のタスクのうちVMware vCenter Serverと通信が必要なタスクはすべてキャンセル、または失敗します。
1.新しいSTS証明書を生成します。
以下のVMware Docsをご確認ください。

「vCenter Server Windows 環境での新しい STS 署名証明書の生成」

https://docs.vmware.com/jp/VMware-vSphere/6.0/com.vmware.vsphere.security.doc/GUID-F9A0CA06-8875-4A66-BBBA-DB0C0143B5AE.html

補 足

VMware Docsの手順について、以下の点に留意してください。

  • 手順3.においてcertool.cfgを編集する際、IPAddress及びHostnameには以下の値を入力してください。
        IPAddress = 統合管理サーバのIPアドレス
        Hostname = 統合管理サーバのFQDN(例:ehv00000000vc.pri.p2.local)
  • 手順6.を実施する前に、「C:\Program Files\VMware\vCenter Server\openSSL」フォルダを「C:\Program Files (x86)\VMware\OpenSSL」としてコピーします。
  • 手順7.実施時、「JKSキーストアは独自の形式を使用しています。」から始まる警告メッセージが表示されますが、動作に問題はありません。
    また、「この証明書を信頼しますか。[いいえ]」と表示された場合は、「はい」、または「Y」を入力して実行してください。
  • 手順7.において入力したパスワード(deststorepass、destkeypass)は後続作業で使用します。
2.生成したSTS証明書をvCenter Serverに登録し、証明書の更新作業を行います。
STS証明書の更新方法は、以下のVMware Docsをご確認ください。

「Security Token Service 証明書の更新」

https://docs.vmware.com/jp/VMware-vSphere/6.0/com.vmware.vsphere.security.doc/GUID-62981EA9-FEDD-4803-9CB6-29552FE703B1.html

補 足

VMware Docsの手順について、以下の点に留意してください。

手順3において入力するパスワードは、「vCenter Server Windows 環境での新しい STS 署名証明書の生成」手順7において入力したパスワードです。

3.STS証明書の有効期限が更新されていることを確認します。
補 足

本手順ではリーフ証明書のみ更新されます。

証明書の有効期限の確認方法は「9.11.1 証明書の有効期限の確認」をご参照ください。

マシンSSL証明書、及びソリューションユーザ証明書の更新

VMware vCenter Serverで利用しているマシンSSL証明書、及びソリューションユーザ証明書を更新する方法を説明します。

注 意

証明書を更新した後に、VMware vCenter Serverのサービスが自動的に再起動されます。サービス再起動に伴い、VMware vCenter Server上で実行中のタスク、及び連携している各種製品のタスクのうちVMware vCenter Serverと通信が必要なタスクはすべてキャンセル、または失敗します。

1.リモートデスクトップ接続を使用し、統合管理サーバへ接続します。
2.コマンドプロンプトを管理者権限で起動します。
3.以下のコマンドを実行し、vSphere Certificate Managerを起動します。

>"C:\Program Files\VMware\vCenter Server\vmcad\certificate-manager"

vSphere Certificate Managerを起動

オプション画面が表示されます。

4.更新する証明書に応じて、「3」または「6」を入力し、実行します。
マシンSSL証明書を更新する場合、「3」を入力し、実行します。
ソリューションユーザ証明書を更新する場合、「6」を入力し、実行します。

Option[1 to 8]: <3または6を入力>

5.「6」を入力した場合は、ソリューションユーザ証明書のすべてのSTOREを更新するか確認されるため、「Y」を入力し、実行します。「6」以外を入力した場合は、手順6.に進みます。
注 意

バックアップセット/VWをご利用中の場合は、ルート証明書の更新(2及び4)は実施しないでください。ルート証明書の更新に伴い、すべてのバックアップ、及びリストアが失敗します。

6.vCenter Single Sign-OnのAdministrator権限の認証情報を入力します。
項目 内容
username administrator@vsphere.localを入力します。
password administrator@vsphere.localのパスワードを入力します。
7.証明書の発行に必要な情報を入力します。各パラメータには「デフォルト値」、あるいはご利用の環境の情報を入力してください。
証明書の発行に必要な情報
パラメータ 内容 デフォルト値
Country 「JP」、または「US」を入力します US
Name VMware vCenter ServerのFQDN、または「CA」を入力します。 CA
Organization VMware vCenter Serverを使用する組織名、または「VMware」を入力します。 VMware
OrgUnit VMware vCenter Serverを使用する部署名、または「VMware Engineering」を入力します。 VMware Engineering
State VMware vCenter Serverを使用する組織の所在地情報(都道府県名)、または「California」を入力します。 California
Locality VMware vCenter Serverを使用する組織の所在地情報(市区町村名)、または「Palo Alto」を入力します。 Palo Alto
IPAddress VMware vCenter ServerのIPアドレスを入力します。 -
Email 任意のメールアドレスを入力します。 email@acme.com
Hostname VMware vCenter ServerのFQDNを入力します。 -
VMCA Name VMware vCenter Server ApplianceのFQDNを入力します。 -
注 意

「Hostname」欄で誤った値を入力した場合は、証明書の更新は正しく完了せず、環境が不安定な状態になる可能性があります。

8.入力した値に誤りがないことを確認し、「Y」を入力し、実行します。
9.「Status : 100% Completed [All tasks completed successfully]」と表示されることを確認します。
10.マシンSSL証明書を更新した場合は、vmdir証明書を更新します。マシンSSL証明書を更新していない場合は手順16に進みます。
11.コマンドプロンプトで以下のコマンドを実行し、vmdir serviceを停止します。

> cd "C:\Program Files\VMware\vCenter Server\bin"
> service-control --stop VMWareDirectoryService

12.C:\ProgramData\VMware\vCenterServer\cfg\vmdird\内のvmdircert.pemとvmdirkey.pemをバックアップします。
13.以下のコマンドを実行し、マシンSSL証明書をvmdird証明書としてコピーします。

> "C:\Program Files\VMware\vCenter Server\vmafdd\vecs-cli.exe" entry getcert --store machine --alias machine --output C:\ProgramData\VMware\vCenterServer\cfg\vmdird\vmdircert.pem
> "C:\Program Files\VMware\vCenter Server\vmafdd\vecs-cli.exe" entry getkey --store machine --alias machine --output C:\ProgramData\VMware\vCenterServer\cfg\vmdird\vmdirkey.pem

14.以下のコマンドを実行し、vmdir serviceを起動します。

> cd "C:\Program Files\VMware\vCenter Server\bin"
> service-control --start VMWareDirectoryService

15.以下のコマンドを実行し、vCenter Serverの再起動を行います。

> service-control --stop --all
> service-control --start --all

16.証明書の有効期限が更新されていることを確認します。
確認方法は「9.11.1 証明書の有効期限の確認 > マシンSSL証明書、及びソリューションユーザ証明書の有効期限の確認」をご参照ください。
17.証明書の更新時、更新前の証明書が自動的にバックアップされます。バックアップされた証明書の有効期限まで30日以内になった場合は、アラームが発生します。アラームは、バックアップされた証明書を削除することで抑止できます。
削除方法は、「9.11.4 バックアップされた証明書の削除」をご参照ください。
18.バックアップセット/VW、VMware NSX、VMware vSphere Replicationをご利用の場合は、「9.11.3 VMware vCenter Serverと連携している製品の対応」の手順を実施してください。