9.10.1 証明書の有効期限の確認

VMware vCenter Server Applianceで利用している、以下の証明書の有効期限を確認する方法を説明します。

STS証明書の有効期限の確認

VMware vCenter Server ApplianceのSTS証明書の有効期限は、以下のいずれかの方法で確認できます。

補 足
  • VMware vSphere Client(HTML5)ではSTS証明書の有効期限を確認できません。
  • Webブラウザのアップデートを実施し、Adobe Flash Playerの利用が制限された場合は、VMware vSphere Web Clientでの確認ができないため、スクリプトによる確認を実施してください。
VMware vSphere Web Clientで確認する方法
1.VMware vSphere Web Clientを使用し、VMware vCenter Server Applianceに接続します。ユーザ名にはadministrator@vsphere.localを入力し、パスワードにはadministrator@vsphere.localのパスワードを入力します。
2.画面上部のホームを選択し、表示されたメニューから「管理」を選択します。
-
3.画面左に表示されるメニューの「Single Sign-On」をクリックし、「設定」をクリックします。
設定

「ehv########vcsa.pri.p2.localのSSO設定」画面が表示されます。

4.「証明書」タブをクリック後、「STS証明書」をクリックし、「件名」にチェーン1として2通の証明書が表示されることを確認します。「有効期限の終了日」として表示されている日時がSTS証明書の有効期限となります。
STS証明書の有効期限
補 足

2通のうち、「有効期間の開始日」から「有効期限の終了日」までの期間が、2年間の証明書がリーフ証明書、10年間の証明書がルート証明書となります。いずれかの「有効期限の終了日」を迎えると、STS証明書は有効期限切れの状態となります。

スクリプトで確認する方法

本手順では、Windows用フリーソフトウェアとして配布されているターミナルエミュレータ「Tera Term」を使用した確認方法を説明します。

1.以下のURLより「checksts.py」スクリプトをダウンロードします。

https://kb.vmware.com/s/article/79248

補 足

「checksts.py」スクリプトは、右カラムの「Attachments」のリンクから入手できます。「Attachments」が表示されない場合は、右カラムの「Language」を「English」に変更してください。

2.リモートデスクトップ接続を使用し、運用管理サーバへ接続します。
3.ダウンロードした「checksts.py」スクリプトを、運用管理サーバのローカルディスクへアップロードします。
補 足

アップロード方法の詳細は「4.1.1 運用管理サーバのローカルディスクへのアップロード」をご参照ください。

4.スタートボタンをクリックし、「Windows PowerShell」フォルダの「Windows PowerShell」を右クリックして、「管理者として実行する」をクリックします。
管理者として実行する
5.以下のコマンドを実行し、VMware vCenter Server Applianceに接続します。

PS> Connect-VIServer -Server <VMware vCenter Server ApplianceのIPアドレスまたはFQDN> -User administrator@vsphere.local -Password <administrator@vsphere.localのパスワード>

6.以下のコマンドを実行し、checksts.pyスクリプトをVMware vCenter Server Applianceに転送します。

PS> Copy-VMGuestFile -VM <VMware vCenter Server Applianceの仮想マシン名> -LocalToGuest -Source <checksts.pyスクリプトのファイルパス> -Destination “/tmp/checksts.py” -GuestUser root -GuestPassword <VMware vCenter Server Applianceのrootユーザのパスワード>

7.以下のコマンドを実行し、Windows PowerShellを終了します。

PS> exit

8.運用管理サーバからログオフします。
補 足

運用管理サーバに「Tera Term」をインストールし、後続手順を実行する場合は、ログオフせずに次の手順へ進みます。

9.「Tera Term」を起動し、VMware vCenter Server Applianceに接続します。
補 足

VMware vCenter Server Applianceに接続する方法については、「2.1.2 VMware vCenter Server Applianceへの接続 > SSHによる接続」をご参照ください。

10.VMware vCenter Server Applianceに接続した後、以下の画面が表示されるため、「shell」と入力し、Enterキーを押します。
shell
11.以下のコマンドを実行し、「checksts.py」スクリプトが存在することを確認します。

# ls -l /tmp/checksts.py
-rw-r--r-- 1 root root 8042 Aug 10 09:00 /tmp/checksts.py

12.以下のコマンドを実行し、「checksts.py」スクリプトを実行します。

# python /tmp/checksts.py

13.証明書の有効期限を迎えていない場合は、「VALID CERTS」欄に証明書の有効期限が切れるまでの残日数(今回の例では、リーフ証明書が残り671日、ルート証明書が3588日)が表示されます。

2 VALID CERTS
================

    LEAF CERTS:

    [] Certificate 66:85:64:80:19:1B:37:E3:AA:72:04:A1:5A:B3:2B:54:FE:2C:41:94 will expire in 671 days (1.0 years).

    ROOT CERTS:

    [] Certificate 9F:FD:DF:78:79:30:F9:31:56:85:05:22:F5:16:B1:03:6B:68:F2:F4 will expire in 3588 days (9.0 years).

0 EXPIRED CERTS
================

    LEAF CERTS:

    None

    ROOT CERTS:

    None

すでに証明書の有効期限が切れている場合は、「EXPIRED CERTS」欄に有効期限が切れた証明書が表示され、STS証明書が有効期限切れとなっている旨のメッセージが出力されます。

0 VALID CERTS
================

    LEAF CERTS:

    None

    ROOT CERTS:

    None

2 EXPIRED CERTS
================

    LEAF CERTS:

    [] Certificate 66:85:64:80:19:1B:37:E3:AA:72:04:A1:5A:B3:2B:54:FE:2C:41:94 expired on 2020-08-01 13:00:00 GMT!

    ROOT CERTS:

    [] Certificate 9F:FD:DF:78:79:30:F9:31:56:85:05:22:F5:16:B1:03:6B:68:F2:F4 expired on 2020-08-01 13:00:00 GMT!
  WARNING!
  You have expired STS certificates. Please follow KB: https://kb.vmware.com/s/article/76719

マシンSSL証明書、及びソリューションユーザ証明書の有効期限の確認

マシンSSL証明書、及びソリューションユーザ証明書の有効期限は、VMware vCenter Server ApplianceにSSH接続し、コマンドを実行することで確認できます。なお、SSHでリモート接続するには、SSHクライアントソフトをご用意ください。本オンラインマニュアルでは、Windows用フリーソフトウェアとして配布されているターミナルエミュレータ「Tera Term」を使用した接続方法を説明します。

1.「Tera Term」起動し、VMware vCenter Server Applianceに接続します。
2.VMware vCenter Server Applianceに接続した後、以下の画面が表示されるため、「shell」と入力し、Enterキーを押します。
shell
3.以下のコマンドを実行します。

# for i in $(/usr/lib/vmware-vmafd/bin/vecs-cli store list); do echo STORE $i; /usr/lib/vmware-vmafd/bin/vecs-cli entry list --store $i --text | egrep "Alias|Not After"; done

補 足

本コマンドは1行で入力してください。

4.表示された実行結果から、各証明書の有効期限を確認してください。実行結果に証明書に関連する「STORE」が表示されます。有効期限は、各証明書の「Not After」に表示されます。(今回の例では、マシンSSL証明書、及びソリューションユーザ証明書の有効期限は、2022/6/29です)。


対象の証明書に関連する「STORE」は以下のとおりです。

証明書 証明書のSTORE
マシンSSL証明書 STORE MACHINE_SSL_CERT
ソリューションユーザ証明書

STORE machine

STORE vsphere-webclient

STORE vpxd

STORE vpxd-extension

shell