vCenter Server証明書更新手順

2022.03.27

vCenter Server 7.0 U2環境で、マシンSSL証明書やソリューションユーザ証明書のwcp証明書を含むすべての証明書期限を更新する手順をまとめました。

署名書更新手順

vCenter ServerへrootでSSHへ接続します。

①有効期限確認

# for i in $(/usr/lib/vmware-vmafd/bin/vecs-cli store list); do echo STORE $i; /usr/lib/vmware-vmafd/bin/vecs-cli entry list –store $i –text | egrep “Alias|Not After”; done
下記出力例) ※抜粋
STORE MACHINE_SSL_CERT
Alias : __MACHINE_CERT Not After : Nov 15 02:17:24 2023 GMT STORE TRUSTED_ROOTS
Alias : b23a9e253c53cfaefd4d10d97c5398ebc203579c Not After : Nov 9 14:17:24 2031 GMT STORE TRUSTED_ROOT_CRLS
Alias : 5be1a3cdbdea99dcdeba1bf3a648a4dfed3595aa STORE machine Alias : machine Not After : Nov 9 14:17:24 2031 GMT
~略~
STORE wcp Alias : wcp Not After : Nov 22 10:26:20 2023 GMT ★この有効期限が短いことを確認★

②全ての証明書を更新(wcpは単体で更新が不可のため他証明書含め全て更新する)

# /usr/lib/vmware-vmca/bin/certificate-manager
Note : Use Ctrl-D to exit.
Option[1 to 8]: 8 ★8(Reset all Certificates)を入力★
Do you wish to generate all certificates using configuration file : Option[Y/N] ? : Y ★Yを入力★Please provide valid SSO and VC privileged user credential to perform certificate operations.
Enter username [Administrator@vsphere.local]: ★Enterを押下★
Enter password:  ★パスワードを入力★

Please configure certool.cfg with proper values before proceeding to next step.

Press Enter key to skip optional parameters or use Default value.

Enter proper value for ‘Country’ [Default value : US] : ★Enterを押下★

Enter proper value for ‘Name’ [Default value : CA] : ★Enterを押下★

Enter proper value for ‘Organization’ [Default value : VMware] : ★Enterを押下★

Enter proper value for ‘OrgUnit’ [Default value : VMware Engineering] : ★Enterを押下★

Enter proper value for ‘State’ [Default value : California] : ★Enterを押下★

Enter proper value for ‘Locality’ [Default value : Palo Alto] : ★Enterを押下★

Enter proper value for ‘IPAddress’ (Provide comma separated values for multiple IP addresses) [optional] : ★vCenter IPAddressを入力★

Enter proper value for ‘Email’ [Default value : email@acme.com] : ★Enterを押下★

Enter proper value for ‘Hostname’ (Provide comma separated values for multiple Hostname entries) [Enter valid Fully Qualified Domain Name(FQDN), For Example : example.domain.com] : ★vCenterのFQDN名を入力

Enter proper value for VMCA ‘Name’ : ★vCenterの仮想マシン名を入力★
Continue operation : Option[Y/N] ? : Y ★Yを入力★

You are going to reset by regenerating Root Certificate and replace all certificates using VMCA
Continue operation : Option[Y/N] ? : Y★Yを入力★
Status : 0% Completed [Reset Root Cert…]
→ Reset status : 100% Completed [Reset completed successfully]と表示されるまで待機します。
※vCenterサービス再起動が発生するためメンテナンス時間に実施推奨。完了までに30分程度かかります。

注意事項

・本手順は全ての証明書を再作成するため、もともと有効期限10年だったwcp以外の証明書が2年に短くなります。2年毎の更新を想定しているため、更新は必ず実施してください。
・マシンSSL証明書のみであればvCenterのGUIからも更新可能です。vCenter7.0 Update3でマシンSSL証明書以外の証明書有効期限が10年になったため、U3以降の環境であればGUIからがおすすめです。
・関連ソリューション(vRops,NSX,Horizonなど)側でvCenterの再登録(接続テストして、証明書を受諾)する必要があります。

 

証明書期限がきれたらどうなる?

マシンSSL証明書の有効期限が切れてしまうとvSphere Clientへログインできない、vCenterサービスが起動しないなどの問題が発生します。
wcp証明書の有効期限が切れるとメンテナンスモードにできなくなります。

■まとめ

セキュリティのためとはいえ、安定稼働が命題のインフラ基盤の証明書を2年毎に変えるのはストレスですね。。関連ソリューション側の手順含めて忘れず実施するよう心がけましょう。

少しでもお役に立てると幸いです。有難うございました。

コメント

タイトルとURLをコピーしました