こんにちは!谷口です!
vCenter の証明書更新は、普段あまり意識しないものの、いざ期限切れが近づくと急に重要度が高くなる作業です。 特に マシンSSL証明書 は、vSphere Client や管理系の通信にも関わるため、運用上しっかり確認しておきたいポイントです。 今回は、vCSA 8.0 で マシンSSL証明書 を更新した手順をまとめました。 同じ作業を行う際の参考になれば幸いです。
本記事でわかること
- vCenter マシンSSL証明書 の基本的な役割
- 証明書の期限が切れた場合の影響
- vSphere Certificate Manager を使ったvCenter マシンSSL証明書 の更新手順
- 更新後に有効期限がどう変わるか
vCenter証明書(マシンSSL証明書)の概要
vCenter のマシンSSL証明書は、vCenter Server Appliance が Web 管理画面や各種サービスで利用する証明書です。vSphere Client へのアクセスや、vCenter の管理系通信にも関わるため、運用上重要な証明書です。
証明書の有効期限が切れた場合の影響
マシンSSL証明書 の有効期限が切れた場合、主に次のような影響が考えられます。
- vSphere Client にアクセスした際に証明書エラーが発生する
- vSphere Client への接続が不安定になる
- API や連携処理で証明書エラーが発生する
- 日常の管理操作に支障が出る
すぐに vCenter 全体が停止するとは限りませんが、管理操作に支障が出る可能性があるため、期限切れ前の更新が望ましいです。
デフォルトの有効期限と手動更新後の延長期限
vCSA 8.0 環境での証明書の有効期限は以下の通りです。
- デフォルト:2年(730日)
- 手動更新後:2年(730日)
デフォルトの有効期限と手動更新後の延長期限は、ともに2年(730日)です。
証明書の有効期限は定期的に確認し、期限切れ直前ではなく、余裕を持って更新することをお勧めします。
vCenter証明書(マシンSSL証明書)の更新方法
前提条件
- vCenter に SSH でログインできること
- 証明書更新は管理インターフェースに影響するため、メンテナンス時間帯に実施することをお勧めします
- 本記事は vCSA 8.0 で検証しています。画面表示や文言はバージョンによって異なる場合があります。
更新手順
- vCenter に SSH 接続でログイン
vCenter Server Appliance にSSH接続し、rootユーザでログインします。 - PNIDを確認
以下のコマンドを実行し、PNIDを確認します。# /usr/lib/vmware-vmafd/bin/vmafd-cli get-pnid --server-name localhost
ここで表示された PNID は、この後の入力で使用します。 - vSphere Certificate Manager を起動
以下のコマンドを実行して、vSphere Certificate Manager を起動します。# /usr/lib/vmware-vmca/bin/certificate-manager
vSphere Certificate Manager が起動すると、証明書管理メニューが表示されます。 - マシンSSL証明書 の更新
マシンSSL証明書を更新するため、Optionに「3」 を入力します。
- 認証情報を入力
ログイン情報が求められるため、vCenter Single Sign-on の Administrator権限 の認証情報を入力します。
・username:administrator@vsphere.local を入力します。
・password:administrator@vsphere.local のパスワードを入力します。
- (2回目以降の場合のみ表示)
前回の証明書発行時に入力した情報を継続利用するか、変更するかを確認するメッセージが表示されます。前回の設定をそのまま使う場合は N、前回の設定を使わず再入力する場合は Y を入力します。
・N:前回の設定を継続利用する
・Y:証明書情報を再入力する
- 証明書発行に必要な情報を入力します。
| 項目 | 入力値 | デフォルト |
| Country | 「JP」を入力します。 | US |
| Name | 手順2で確認したPNIDを入力します。 | CA |
| Organization | VMware vCenter Server Applianceを使用する組織名を入力します。 | VMware |
| OrgUnit | VMware vCenter Server Applianceを使用する部署名を入力します。 | VMware Engineering |
| State | VMware vCenter Server Applianceを使用する組織の所在地情報(都道府県名)を入力します。 | California |
| Locality | VMware vCenter Server Applianceを使用する組織の所在地情報(市区町村名)を入力します。 | Palo Alto |
| IPAddress | VMware vCenter Server ApplianceのIPアドレスを入力することができます。本項目はオプション項目です。 | - |
| 任意のメールアドレスを入力します。本項目はオプション項目です。 | email@acme.com | |
| Hostname | 手順2で確認したPNIDを入力します。 | - |
| VMCA Name | 手順2で確認したPNIDを入力します。 | - |
- マシンSSL証明書の再生成
入力した値に誤りがないことを確認し、「Y」を入力して実行します。
Y を入力すると、VMCA によりマシンSSL証明書の再生成処理が開始されます。
- マシンSSL証明書の再生成完了
Statusが100%になり「All tasks completed successfully」と出力されることを確認します。
- vCSA管理インターフェース再起動
VMware vCenter Server Appliance 管理インターフェースを再起動します。# systemctl restart cap-lighttpd.service
- 有効期限の確認
以下のコマンドを実行し、証明書の有効期限を確認します。(1行で入力してください。)# for i in $(/usr/lib/vmware-vmafd/bin/vecs-cli store list); do echo STORE $i; /usr/lib/vmware-vmafd/bin/vecs-cli entry list --store $i --text | egrep "Alias|Not After"; done
表示された実行結果から、証明書の有効期限が更新されていることを確認してください。
確認対象は以下です。
・STORE MACHINE_SSL_CERTNot Afterの日付が更新されていれば、マシンSSL証明書の更新は成功です。
まとめ
今回は、vCenter の マシンSSL証明書 を vSphere Certificate Manager で更新する手順を紹介しました。ポイントは以下のとおりです。
- マシンSSL証明書は vCenter の管理機能に関わる重要な証明書
- vCSA 8.0 のデフォルト有効期限は 約2年(730日)
- 期限切れになると、vSphere Client などの管理操作に影響が出る可能性がある
- vSphere Certificate Manager の Option 3 で VMCA から再発行できる
- 再発行後は
vecs-cliコマンドで有効期限を確認する
vCenter は証明書まわりのトラブルが管理作業に直結するため、期限を定期的に確認し、余裕を持って更新することが大切です。証明書の更新手順を一度試しておくと、いざというときにも落ち着いて対応しやすくなります。
vCenter Server は VMware, Inc.(a Broadcom company)の商標であり、この記事は VMware, Inc. または Broadcom によって承認されたり、いずれとも提携したりするものではありません。
コメント