期限切れの ESXi VIB 証明書による ESXi アップグレードへの影響
search cancel

期限切れの ESXi VIB 証明書による ESXi アップグレードへの影響

book

Article ID: 312827

calendar_today

Updated On:

Products

VMware vSphere ESXi

Issue/Introduction

Symptoms:
免責事項:これは英文の記事「Impact on ESXi upgrade due to expired ESXi VIB Certificate 」の日本語訳です。記事はベストエフォートで翻訳を進めているため、ローカライズ化コンテンツは最新情報ではない可能性があります。最新情報は英語版の記事で参照してください。
 
  • ESXi 6.5 U2 より前のバージョンから ESXi 7.0 以降への esxcli アップグレードを行うと、次のエラーが表示される。
信頼できる署名者が見つかりませんでした (Could not find a trusted signer)。
例:
esxcli software profile update -d /vmfs/volumes/datastore1/VMware-ESXi-7.0.0-15843807-depot.zip -p ESXi-7.0.0-15843807-standard
[InstallationError]
'VMware_bootbank_lsuv2-hpv2-hpsa-plugin_1.0.0-2vmw.700.1.0.15843807', 'Could not find a trusted signer.') vibs = VMware_bootbank_lsuv2-hpv2-hpsa-plugin_1.0.0-2vmw.700.1.0.15843807
 Please refer to the log file for more details.
  • ESXi 6.5 U2 より前のバージョンから ESXi 7.0 以降への VUM ベースのアップグレードで、次のエラーが表示される。
ホスト アップグレード エージェントを展開できません (Cannot deploy host upgrade agent)。
以下のようにアップグレードした場合、ESXi は失敗する。
  • 6.0 GA(ビルド:2494585)以降、ただし 6.0 ESXi600-201807001(ビルド: 9239799)より前のバージョン
または
  • 6.5 GA(ビルド:4564106)以降、ただし 6.5 U2(ビルド:8294253)より前のバージョン
から以下へのアップグレード
  • ESXi 6.5
または
  • ESXi 6.7
 
  1. esxcli コマンドを使用したアップグレードが失敗し、次のようなエラーが表示される。

    例:

    esxcli software  profile update -d <depot location> -p <profile name>

    [InstallationError]
    ('<vib-name>', 'Could not find a trusted signer.')
    vibs = <vib-name>
    Please refer to the log file for more details.
     
  • /var/log/esxupdate.log ファイルに、次のようなエントリが表示される。

    <YYYY-MM-DD>T<time> esxupdate: 78526: root: ERROR: トレースバック (直近の呼び出し):
    <YYYY-MM-DD>T<time> esxupdate: 78526: root: ERROR:   File "/build/mts/release/bora-4564106/bora/build/esx/release/vmvisor/sys-boot/lib64/python3.5/site-packages/vmware/esximage/Vib.py", line 1570, in VerifySignature
    <YYYY-MM-DD>T<time> esxupdate: 78526: root: ERROR: VibSign.PKCS7CertError: Could not find a trusted signer.
    <YYYY-MM-DD>T<time> esxupdate: 78526: root: ERROR: 
    <YYYY-MM-DD>T<time> esxupdate: 78526: root: ERROR: During handling of the above exception, another exception occurred:
    <YYYY-MM-DD>T<time> esxupdate: 78526: root: ERROR: 
    <YYYY-MM-DD>T<time> esxupdate: 78526: root: ERROR: トレースバック (直近の呼び出し):
    <YYYY-MM-DD>T<time> esxupdate: 78526: root: ERROR:   File "/build/mts/release/bora-4564106/bora/build/esx/release/vmvisor/sys-boot/lib64/python3.5/site-packages/vmware/esximage/HostImage.py", line 497, in _download_and_stage
    <YYYY-MM-DD>T<time> esxupdate: 78526: root: ERROR:   File "/build/mts/release/bora-4564106/bora/build/esx/release/vmvisor/sys-boot/lib64/python3.5/site-packages/vmware/esximage/Vib.py", line 1532, in VerifyAcceptanceLevel
    <YYYY-MM-DD>T<time> esxupdate: 78526: root: ERROR:   File "/build/mts/release/bora-4564106/bora/build/esx/release/vmvisor/sys-boot/lib64/python3.5/site-packages/vmware/esximage/AcceptanceLevels.py", line 106, in Verify
    <YYYY-MM-DD>T<time> esxupdate: 78526: root: ERROR:   File "/build/mts/release/bora-4564106/bora/build/esx/release/vmvisor/sys-boot/lib64/python3.5/site-packages/vmware/esximage/AcceptanceLevels.py", line 67, in VerifySignature
    <YYYY-MM-DD>T<time> esxupdate: 78526: root: ERROR:   File "/build/mts/release/bora-4564106/bora/build/esx/release/vmvisor/sys-boot/lib64/python3.5/site-packages/vmware/esximage/Vib.py", line 1576, in VerifySignature
    <YYYY-MM-DD>T<time> esxupdate: 78526: root: ERROR: vmware.esximage.Errors.VibSigInvalidError: ('V<vib-name>', 'Could not find a trusted signer.')
    <YYYY-MM-DD>T<time> esxupdate: 78526: root: ERROR: 
    <YYYY-MM-DD>T<time> esxupdate: 78526: root: ERROR: During handling of the above exception, another exception occurred:
    <YYYY-MM-DD>T<time> esxupdate: 78526: root: ERROR: 
    <YYYY-MM-DD>T<time> esxupdate: 78526: root: ERROR: トレースバック (直近の呼び出し):
    <YYYY-MM-DD>T<time> esxupdate: 78526: root: ERROR:   File "/usr/lib/vmware/esxcli-software", line 468, in <module>
    <YYYY-MM-DD>T<time> esxupdate: 78526: root: ERROR:     main()
    <YYYY-MM-DD>T<time> esxupdate: 78526: root: ERROR:   File "/usr/lib/vmware/esxcli-software", line 459, in main
    <YYYY-MM-DD>T<time> esxupdate: 78526: root: ERROR:     ret = CMDTABLE[command](options)
    <YYYY-MM-DD>T<time> esxupdate: 78526: root: ERROR:   File "/usr/lib/vmware/esxcli-software", line 214, in ProfileUpdateCmd
    <YYYY-MM-DD>T<time> esxupdate: 78526: root: ERROR:     allowDowngrades=opts.downgrade)
    <YYYY-MM-DD>T<time> esxupdate: 78526: root: ERROR:   File "/build/mts/release/bora-4564106/bora/build/esx/release/vmvisor/sys-boot/lib64/python3.5/site-packages/vmware/esximage/Transaction.py", line 675, in InstallVibsFromProfile
    <YYYY-MM-DD>T<time> esxupdate: 78526: root: ERROR:   File "/build/mts/release/bora-4564106/bora/build/esx/release/vmvisor/sys-boot/lib64/python3.5/site-packages/vmware/esximage/Transaction.py", line 382, in _installVibs
    <YYYY-MM-DD>T<time> esxupdate: 78526: root: ERROR:   File "/build/mts/release/bora-4564106/bora/build/esx/release/vmvisor/sys-boot/lib64/python3.5/site-packages/vmware/esximage/Transaction.py", line 442, in _validateAndInstallProfile
    <YYYY-MM-DD>T<time> esxupdate: 78526: root: ERROR:   File "/build/mts/release/bora-4564106/bora/build/esx/release/vmvisor/sys-boot/lib64/python3.5/site-packages/vmware/esximage/HostImage.py", line 801, in Stage
    <YYYY-MM-DD>T<time> esxupdate: 78526: root: ERROR:   File "/build/mts/release/bora-4564106/bora/build/esx/release/vmvisor/sys-boot/lib64/python3.5/site-packages/vmware/esximage/HostImage.py", line 500, in _download_and_stage
    <YYYY-MM-DD>T<time> esxupdate: 78526: root: ERROR: vmware.esximage.Errors.InstallationError: ('<vib-name>', "('<vib-name>', 'Could not find a trusted signer.')")
     
  1. Update Manager を使用した ESXi アップグレードが失敗し、次のような vSphere Web Client のエラーが表示される。

    Notification

    Task Name: Remediate entity
    Target: < Host IP or FQDN >
    Status: Cannot execute upgrade script on host
     
    • vCenter Server の /var/log/vmware/vmware-updatemgr/vum-server/vmware-vum-server-log4cpp.log ファイルに、次のようなエントリが記録される。

      [<YYYY-MM-DD>T<time> 'HU-Upgrader' 140215538296576 ERROR] [upgraderImpl, 445] Script execution failed on host: 10.160.28.250)
      [<YYYY-MM-DD>T<time> 'AgentDeploy' 140215538296576 INFO] [agentDeploy, 173] Deploy agent, local installer = ./docroot/vci/vua/vua-uninst6/vua-uninst.sh, localSig = ./docroot/vci/vua/vua-uninst6/vua-uninst.sig
      [<YYYY-MM-DD>T<time> 'NfcClientWrapper' 140215538296576 INFO] [nfcClientWrapper, 151] Copying file: local = ./docroot/vci/vua/vua-uninst6/vua-uninst.sh, remote = /tmp/vmware-root/ha-agentmgr/upgrade
      [<YYYY-MM-DD>T<time> 'NfcClientWrapper' 140215538296576 INFO] [nfcClientWrapper, 151] Copying file: local = ./docroot/vci/vua/vua-uninst6/vua-uninst.sig, remote = /tmp/vmware-root/ha-agentmgr/upgrade.sig
      [2<YYYY-MM-DD>T<time> 'AgentDeploy' 140215538296576 INFO] [agentDeploy, 247] Agent installed
      [<YYYY-MM-DD>T<time> 'SingleHostUpgradeRemediateTask.SingleHostUpgradeRemediateTask{36}' 140215538296576 ERROR] [singleHostUpgradeRemediateTask, 333] Error running check scripts on host: <host IP address>, host Id: host-9, error: Fault cause: integrity.fault.HostUpgradeRunScriptFailure
       
  2. セキュア ブートを使用して vSphere クラスタで vSphere HA の有効化を試行すると、「Operation Timed Out」で失敗する。
  • vSphere HA の有効化を試行した ESXi ホストの esxupdate.log ファイルに、次のようなエントリが記録される。

    2020-04-09T03:39:10Z esxupdate: 157884: esxupdate: ERROR: Traceback (most recent call last):^@
    2020-04-09T03:39:10Z esxupdate: 157884: esxupdate: ERROR: File "/build/mts/release/bora-7388607/bora/build/esx/release/vmvisor/sys-boot/lib64/python3.5/site-packages/vmware/esximage/Vib.py", line 1570, in VerifySignature^@
    2020-04-09T03:39:10Z esxupdate: 157884: esxupdate: ERROR: VibSign.PKyesterdayCS7CertError: Could not find a trusted signer.^@
    2020-04-09T03:39:10Z esxupdate: 157884: esxupdate: ERROR: ^@
    2020-04-09T03:39:10Z esxupdate: 157884: esxupdate: ERROR: During handling of the above exception, another exception occurred:^@
    2020-04-09T03:39:10Z esxupdate: 157884: esxupdate: ERROR: ^@
    2020-04-09T03:39:10Z esxupdate: 157884: esxupdate: ERROR: Traceback (most recent call last):^@
    2020-04-09T03:39:10Z esxupdate: 157884: esxupdate: ERROR: File "/build/mts/release/bora-7388607/bora/build/esx/release/vmvisor/sys-boot/lib64/python3.5/site-packages/vmware/esximage/HostImage.py", line 497, in _download_and_stage^@
    2020-04-09T03:39:10Z esxupdate: 157884: esxupdate: ERROR: File "/build/mts/release/bora-7388607/bora/build/esx/release/vmvisor/sys-boot/lib64/python3.5/site-packages/vmware/esximage/Vib.py", line 1532, in VerifyAcceptanceLevel^@
    2020-04-09T03:39:10Z esxupdate: 157884: esxupdate: ERROR: File "/build/mts/release/bora-7388607/bora/build/esx/release/vmvisor/sys-boot/lib64/python3.5/site-packages/vmware/esximage/AcceptanceLevels.py", line 106, in Verify^@
    2020-04-09T03:39:10Z esxupdate: 157884: esxupdate: ERROR: File "/build/mts/release/bora-7388607/bora/build/esx/release/vmvisor/sys-boot/lib64/python3.5/site-packages/vmware/esximage/AcceptanceLevels.py", line 67, in VerifySignature^@
    2020-04-09T03:39:10Z esxupdate: 157884: esxupdate: ERROR: File "/build/mts/release/bora-7388607/bora/build/esx/release/vmvisor/sys-boot/lib64/python3.5/site-packages/vmware/esximage/Vib.py", line 1576, in VerifySignature^@
    2020-04-09T03:39:10Z esxupdate: 157884: esxupdate: ERROR: vmware.esximage.Errors.VibSigInvalidError: ('VMware_bootbank_vmware-fdm_6.7.0-15973156', 'Could not find a trusted signer.')^@
     
  1. ESXi ホストで TLS (Transport Layer Security) 設定を再構成する際に失敗し、次のようなエラーが記録される。
     
    root@vcenter-server [ /usr/lib/vmware-TlsReconfigurator/EsxTlsReconfigurator ]# ./reconfigureEsx vCenterHost -h < Host IP or FQDN > -u [email protected]  -p TLSv1.2
    ESXi Transport Layer Security reconfigurator, version=6.7.0, build=<vcenter build number>
    For more information refer to the following article:https://kb.vmware.com/kb/2147469
    Log file: "/var/log/vmware/vSphere-TlsReconfigurator/EsxTlsReconfigurator.log".
    Connecting to vCenter Server at: "localhost".
    パスワード:
    Validating product version at: "localhost".
    Validating ESXi host: "< Host IP or FQDN >".
    Reconfiguring ESXi host: "< Host IP or FQDN >" of version "6.5"
    Updating ESXi host "< Host IP or FQDN >" advanced option "UserVars.ESXiVPsDisabledProtocols" from "sslv3" to "sslv3,tlsv1,tlsv1.1"
    Removing the <sslOptions> tag (if exists) from the reverse HTTP proxy configuration file on ESXi host: "< Host IP or FQDN >".
    Reconfiguration FAILED for ESXi host "< Host IP or FQDN >": vCenter Server Agent Service をインストールできません。Cannot verify the installer signature.
 
  1. Update Manager を使用した ESXi ベースライン パッチが失敗し、vSphere Web Client に次のような esxupdate エラーが表示される。  
ホストで esxupdate エラー コード 15 が返されますパッケージ マネージャ トランザクションが成功しませんでした。詳細は、Update Manager ログ ファイルと esxupdate ログ ファイルを確認してください。(The host returns esxupdate error code:18. Maintenance mode is not enabled or could not be determined. Check the Update Manager log files and esxupdate log files for more details.)
  • vCenter Server の /var/log/vmware/vmware-updatemgr/vum-server/vmware-vum-server-log4cpp.log ファイルに、次のようなエントリが記録される。
[2020-06-30 04:48:22:568 'HostUpdateDepotManager' 140368283825920 INFO]  [installer20, 90] Processing the Install results for host: <host IP address> (Entity: host-27).
<esxupdate-response>
<version>1.50</version>
<error errorClass="InstallationError">
  <errorCode>15</errorCode>
  <errorDesc>The installation transaction failed.</errorDesc>
  <vibs>VMware_bootbank_esx-ui_1.34.2-16361878</vibs>
  <msg>('VMware_bootbank_esx-ui_1.34.2-16361878', 'Could not find a trusted signer.')</msg>
</error>
</esxupdate-response>

[2020-06-30 04:48:22:568 'HostUpdateDepotManager' 140368283825920 INFO]  [installer20, 98] Receive 0 warnings for host: <host IP address> (Entity: host-27).
[2020-06-30 04:48:22:568 'HostUpdateDepotManager' 140368283825920 INFO]  [installer20, 111] Receive 1 errors for host: <host IP address> (Entity: host-27).
[2020-06-30 04:48:22:568 'HostUpdateDepotManager' 140368283825920 INFO]  [installer20, 117] Exit code (Errors): 15, The installation transaction failed.(Host: 10.161.146.58 (Entity: host-27)).
[2020-06-30 04:48:22:568 'HostUpdateDepotManager' 140368283825920 ERROR]  [hostErrorHandler, 76] esxupdate error, version: 1.50, operation: Install, host: 10.161.146.58, entityName: host-27
 error code: 15, desc: The installation transaction failed.

[2020-06-30 04:48:22:568 'HostUpdateDepotManager' 140368283825920 ERROR]  [installController, 353] Install on host: <host IP address> (Entity: host-27) failed.エラー: 15
 
:前述のログの引用は単なる例です。日付、時間、および環境変数は、環境によって異なる場合があります。

Environment

VMware vSphere ESXi 7.x

Cause

ESXi は、2018 年にトラストストアにログインする VIB の新しい証明書を導入し、古い証明書(2019 年 12 月 31 日に有効期限が切れました)からの移行を開始しました。この移行期間より前にリリースを実行している ESXi ホストは、VIB 署名検証で古い証明書のみを受け入れます。この移行期間は終了したため、この移行前の ESXi のリリースでは新しいリリースの VIB 署名が信頼されず、アップグレードまたはインストールの失敗が発生します。

Resolution

以下の「回避策」を参照してください。

Workaround:
この期限切れイベントに備えて、すべてのユーザーが既存の ESXi ホストを、2018 年 3 月以降にリリースされた、トラスト ストアに新しい署名証明書がある最小限のビルド(以下にリスト)にアップグレードすることを推奨します。これにより、署名証明書が信頼されていないことを理由に、将来のインストールや機能のアップグレードを回避することができます。
  • 6.0 ESXi600-201807001(ビルド: 9239799)以降 
  • 6.5 U2(ビルド: 8294253)以降
  • 6.7 GA(ビルド: 8169922)以降
ESXi ビルドとそのリリース日の詳細については、ナレッジベースの記事「Build numbers and versions of VMware ESXi/ESX (KB2143832)」を参照してください。

この記事は、今後情報を追加して更新される予定です。最新の情報については、サブスクライブしてください。

Additional Information

Powered by Wolken Software