RHELクライアント証明書の更新手順

OSライセンス:Red Hat Enterprise Linuxをご契約の場合、仮想マシンが参照するRHUIリポジトリにアクセスするために必要なクライアント証明書の更新が定期的に必要になります。

ここでは、クライアント証明書の更新手順について説明します。

クライアント証明書有効期限の確認

OSライブラリのテンプレートから仮想マシンを作成した時期や、クライアント証明書を更新した時期によって証明書の期限が異なるため、証明書の期限を確認してください。

以下は期限を確認するコマンドのサンプルです。

$ openssl x509 -text -noout -in /etc/pki/rhui/product/content.crt | grep "Not After"
  Not After : Sep 20 10:00:00 2024 GMT

証明書の期限が切れていたり、残り期間が少なくなっている場合は、以下の手順で更新してください。

更新手順

クライアント証明書はRHUIクライアントRPMの中に含まれています。ここでは、RHUIクライアントRPMの更新手順を説明します。

証明書が期限内の場合

1.RHUIクライアントRPMを確認します。

OSライブラリのテンプレートから仮想マシンを作成した時期によっては、クライアント証明書のRPMパッケージ名が変更になっているため、yum updateでアップデート可能かどうか確認します。

# rpm -qf /etc/yum.repos.d/rh-cloud.repo
(RPMパッケージ名)

RPMパッケージ名がrhui-client-rhel7, rhui-client-rhel8, rhui-client-rhel9の場合、yum updateコマンドでRPMを更新可能です。
以下の手順でRPMを更新してください。RPMパッケージ名がそれ以外の場合は2以降の手順を実施してください。RPMを一度削除して、再インストールが必要になります。

RHEL7の場合
# yum update rhui-client-rhel7
# yum clean all
RHEL8の場合
# yum update rhui-client-rhel8
# yum clean all
RHEL9の場合
# yum update rhui-client-rhel9
# yum clean all

1の手順で更新できた場合、以降の手順は不要になります。

2.RHUIリポジトリを追加します。

追加する設定は利用しているRHELのバージョンによって異なります。
/etc/yum.repos.d/rh-cluod.repo に以下の内容を追記してください。

RHEL7の場合
[rhui-custom-rhui-custom-grp-rhel7-1]
name=Custom Repositories - IIJ GRP custom repository - grp - rhel7 - 1
mirrorlist=https://rhui01.vpc.gen2.p2.iijgio.jp/pulp/mirror/unprotected/rhui-custom-grp-rhel7-1
enabled=1
gpgcheck=0
sslverify=1
sslcacert=/etc/pki/rhui/ca.crt
RHEL8の場合
[rhui-custom-rhui-custom-grp-rhel8-1]
name=Custom Repositories - IIJ GRP custom repository - grp - rhel8 - 1
mirrorlist=https://rhui01.vpc.gen2.p2.iijgio.jp/pulp/mirror/unprotected/rhui-custom-grp-rhel8-1
enabled=1
gpgcheck=0
sslverify=1
sslcacert=/etc/pki/rhui/ca.crt
RHEL9の場合
[rhui-custom-rhui-custom-grp-rhel9-1]
name=Custom Repositories - IIJ GRP custom repository - grp - rhel9 - 1
mirrorlist=https://rhui01.vpc.gen2.p2.iijgio.jp/pulp/mirror/unprotected/rhui-custom-grp-rhel9-1
enabled=1
gpgcheck=0
sslverify=1
sslcacert=/etc/pki/rhui/ca.crt

3.RHUIリポジトリを参照できるか確認します。

# yum clean all
# yum search rhui
rhui-client-rhelX.noarch : Custom configuration for a cloud client instance

もし参照できない場合、/etc/yum.repos.d/rh-cluod.repoの記載内容が正しいか確認してください。

4.RPMをダウンロードします。

rhelXのX部分は利用しているメジャーバージョンに置き換えてください。例えばRHEL8の場合は、rhel8となります。

RHEL7の場合
# yum insall --downloadonly --downloaddir=./ rhui-client-rhelX
rhui-client-rhelX-X.X-X.noarch.rpm
RHEL8、RHEL9の場合
# yum download rhui-client-rhelX
rhui-client-rhelX-X.X-X.noarch.rpm

5.古いRPMを削除します。

# rpm -qf /etc/yum.repos.d/rh-cloud.repo
(RPMパッケージ名)
# rpm -e (RPMパッケージ名)

6.ダウンロードしたRPMをインストールします。

# rpm -i (ダウンロードしたファイル名)

7.証明書の期限が更新されていることを確認します。

$ openssl x509 -text -noout -in /etc/pki/rhui/product/content.crt | grep "Not After"
  Not After : Sep 20 10:00:00 2029 GMT

以上で更新は完了です。

証明書の期限が切れている場合

以下の手順でクライアントRPMとクライアント証明書を更新します。

1.既存の設定ファイルを削除します。

クライアントRPMをインストールする前に、既存の設定の削除を行います。

既存の設定ファイルは「/etc/yum.repos.d/rh-cloud.repo」になり、以下の手順で既存の設定を含むRPMを削除します。

# rpm -qf /etc/yum.repos.d/rh-cloud.repo
(RPM名)
# rpm -e (RPM名)

2.「フレキシブルサーバコントロールパネル」の「仮想マシン」画面に遷移し、該当する仮想マシンの詳細を開きます。

「フレキシブルサーバコントロールパネル」の「仮想マシン」への遷移方法については「フレキシブルサーバリソースコントロールパネル」をご覧ください。

3.「すべてのアクション」をクリックし、表示されたメニューから「メディア」を選択し、「メディアを挿入」を選択します。

「CDを挿入」画面が表示されます。

4.「iij-p2-gen2-rhui-client-XXXX.X.X.X.iso」を選択し、「挿入」をクリックします。

OSからマウントする準備が整いました。

5.OSからマウントを行います。

以下の例では、マウントするディレクトリを「/mnt/cdrom」にしています。

# mkdir -p /mnt/cdrom
# mount -o ro -t iso9660 /dev/cdrom /mnt/cdrom
# ls -R /mnt/cdrom/
/mnt/cdrom/:
RHEL7  RHEL8  RHEL9
 
/mnt/cdrom/RHEL7:
rhui-client-rhel7-x.x-x.noarch.rpm
 
/mnt/cdrom/RHEL8:
rhui-client-rhel8-x.x-x.noarch.rpm
 
/mnt/cdrom/RHEL9:
rhui-client-rhel9-x.x-x.noarch.rpm

6.RPMをインストールします。

RHEL7の場合
# rpm -i /mnt/cdrom/RHEL7/rhui-client-rhel7-x.x-x.noarch.rpm
RHEL8の場合
# rpm -i /mnt/cdrom/RHEL8/rhui-client-rhel8-x.x-x.noarch.rpm
RHEL9の場合
# rpm -i /mnt/cdrom/RHEL9/rhui-client-rhel9-x.x-x.noarch.rpm

7.証明書の期限が更新されていることを確認します。

$ openssl x509 -text -noout -in /etc/pki/rhui/product/content.crt | grep "Not After"
  Not After : Sep 20 10:00:00 2029 GMT

8.作業が終わったら以下のコマンドを実行し、OSからISOイメージファイルをアンマウントします。

# umount /mnt/cdrom

9.手順2を行い該当する仮想マシンの詳細を開きます。

10.「すべてのアクション」をクリックし、表示されたメニューから「メディア」を選択し、「メディアの取り出し」を選択します。

少し時間をおくとアンマウントが完了となります。

アンマウントが失敗している場合

1.仮想マシンからのメディアの取り出しに失敗すると、以下のような入力を待機する画面が表示される場合があります。このような場合は「入力の指定」をクリックします。

2.以下のようなダイアログが表示されますので「はい」をクリックします。

これでISOイメージファイルのアンマウント、RHUIクライアントRPMと証明書の更新は完了です。

【注意】

設定用のISOイメージファイルは、変更後速やかにOSからアンマウントし、その後、フレキシブルサーバリソースコントロールパネルから「メディアの取り出し」を行ってください。また、ISOファイルの更新などの理由により、弊社側で強制的に「メディアの取り出し」を実施する場合があります。