VMware Endpoint Certificate Store for vSphere 6.x および 7.x での証明書の手動確認

Products

VMware vCenter Server

Issue/Introduction

この記事には、vSphere 6.0 および 7.x 環境での認証局 (CA) 署名付き SSL 証明書の手動確認に関する情報が記載されています。vSphere 6.0 および 7.x では、VMware Certificate Authority (VMCA) によって生成された証明書を vSphere Web Client 経由で監視することができます。詳細については、「vSphere Web Clientでの vCenter 証明書の表示」を参照してください。ただし、独自のプライベートキーインフラストラクチャ (PKI) を使用している場合は、独自の証明書の有効性を管理する必要があります。

この記事では、vSphere によって使用される個別のキーストアを参照するだけでなく、vecs-cli を使用して VMware Endpoint 証明書ストア (VECS) に格納されている証明書を一覧表示します。続行する前に以下の項目を確認して、理解しておいてください。

Symptoms:
免責事項：これは英文の記事「Manually reviewing certificates in VMware Endpoint Certificate Store for vSphere 6.x and 7.x (2111411)」の日本語訳です。記事はベストエフォートで翻訳を進めているため、ローカライズ化コンテンツは最新情報ではない可能性があります。最新情報は英語版の記事で参照してください。

Environment

VMware vCenter Server 7.0.x

Resolution

Windows 用に格納された証明書の確認
vCenter Server Appliance 用に格納された証明書の確認
Windows 用に格納された証明書のエクスポート
vCenter Server Appliance 用に格納された証明書のエクスポート

Windows 用に格納された証明書の確認：

注：次の手順は、Windows の C:\ ドライブのデフォルトのインストールパスを使用して記載されています。デフォルト以外のインストールパスを使用している場合、次の手順を変更する必要があります。

管理者特権でのコマンドプロンプトを開きます。管理者権限のコマンドプロンプトが使用されていない場合、エントリリストコマンドは次の Win エラーで失敗します：access is denied。
次のコマンドを実行して、VECS 内に格納されているすべてのキーストアを一覧表示します。次のコマンドは、vCenter Server または Platform Services Controller から実行可能です。

"C:\Program Files\VMware\vCenter Server\vmafdd\"vecs-cli store list

これにより、このコマンドが実行されるノードに応じて、これらのリストのいずれかが出力されます。

外部 Platform Services Controller の場合：

MACHINE_SSL_CERT
TRUSTED_ROOTS
TRUSTED_ROOT_CRLS
machine

外部 Platform Services Controller がある、または Platform Services Controller が埋め込まれている vCenter Server の場合：

MACHINE_SSL_CERT
TRUSTED_ROOTS
TRUSTED_ROOT_CRLS
machine
vpxd
vpxd-extension
vsphere-webclient
SMS
個別のキーストアを確認するには、次の例を使用して、格納されている証明書を一覧表示します。

"C:\Program Files\VMware\vCenter Server\vmafdd\"vecs-cli entry list --store TRUSTED_ROOTS --text | more

"C:\Program Files\VMware\vCenter Server\vmafdd\"vecs-cli entry list --store MACHINE_SSL_CERT --text | more

"C:\Program Files\VMware\vCenter Server\vmafdd\"vecs-cli entry list --store machine --text | more

"C:\Program Files\VMware\vCenter Server\vmafdd\"vecs-cli entry list --store vpxd --text | more

"C:\Program Files\VMware\vCenter Server\vmafdd\"vecs-cli entry list --store vpxd-extension --text | more

"C:\Program Files\VMware\vCenter Server\vmafdd\"vecs-cli entry list --store vsphere-webclient --text | more

"C:\Program Files\VMware\vCenter Server\vmafdd\"vecs-cli entry list --store SMS --text | more

"C:\Program Files\VMware\vCenter Server\vmafdd\"vecs-cli entry list --store TRUSTED_ROOT_CRLS --text | more

注：セッションを終了するには、q キーを押します。
表示される証明書を確認します。

注：

MACHINES_SSL_CERT またはソリューションユーザーストアを確認する際には、X509v3 拡張、特にキー使用法、有効性、サブジェクトの代替名をメモします。vSphere 6.0 にアップグレードした場合、以前 vCenter Server で使用された証明書は MACHINE_SSL_CERT となります。
TRUSTED_ROOTS ストアを確認する際には、X509v3 拡張、特にキー使用法証明書署名、有効性をメモします。証明書署名キー使用法がない場合、VMCA は証明書の署名およびプロビジョニングを行うことができないため、インストールおよび証明書再生成のエラーが発生します。
vCenter の Build によっては、状況に応じて下記のストアがある場合があります。上記で説明した vecs-cli コマンドを使用して、これらのストアに保存された証明書をリストしてください。
- BACKUP_STORE
- data-encipherment
- KMS_ENCRYPTION

vCenter Server Appliance 用に格納された証明書の確認 :

vCenter Server Appliance への SSH セッションを開きます。Root でログインします。次のコマンドを使用して、BASH シェルセッションの使用に切り替えます。

shell.set --enabled true

shell
次のコマンドを実行して、VECS 内に格納されているすべてのキーストアを一覧表示します。次のコマンドは、vCenter Server または Platform Services Controller から実行可能です。

/usr/lib/vmware-vmafd/bin/vecs-cli store list

これにより、このコマンドが実行されるノードに応じて、次のリストのいずれかが出力されます。

外部 Platform Services Controller：

MACHINE_SSL_CERT
TRUSTED_ROOTS
TRUSTED_ROOT_CRLS
machine

外部 Platform Services Controller がある、または Platform Services Controller が埋め込まれている vCenter Server Appliance：

MACHINE_SSL_CERT
TRUSTED_ROOTS
TRUSTED_ROOT_CRLS
machine
vpxd
vpxd-extension
vsphere-webclient
SMS
個別のキーストアを確認するため、次の例を使用して、格納されている証明書を一覧表示します。

/usr/lib/vmware-vmafd/bin/vecs-cli entry list --store TRUSTED_ROOTS --text | less

/usr/lib/vmware-vmafd/bin/vecs-cli entry list --store MACHINE_SSL_CERT --text | less

/usr/lib/vmware-vmafd/bin/vecs-cli entry list --store machine --text | less

/usr/lib/vmware-vmafd/bin/vecs-cli entry list --store vpxd --text | less

/usr/lib/vmware-vmafd/bin/vecs-cli entry list --store vpxd-extension --text | less

/usr/lib/vmware-vmafd/bin/vecs-cli entry list --store vsphere-webclient --text | less

/usr/lib/vmware-vmafd/bin/vecs-cli entry list --store SMS --text | less

/usr/lib/vmware-vmafd/bin/vecs-cli entry list --store TRUSTED_ROOT_CRLS --text | less

注：セッションを終了するには、q キーを押します。
表示される証明書を確認します。

注：

MACHINES_SSL_CERT またはソリューションユーザーストアを確認する際には、X509v3 拡張、特にキー使用法、有効性、サブジェクトの代替名をメモします。vSphere 6.0 にアップグレードした場合、vCenter Server に前に使用された証明書は現在 MACHINE_SSL_CERT となります。
TRUSTED_ROOTS ストアを確認する際には、X509v3 拡張、特にキー使用法証明書署名、有効性をメモします。証明書署名キー使用法がない場合、VMCA は証明書の署名およびプロビジョニングを行うことができないため、インストールおよび証明書再生成のエラーが発生します。
vCenter の Build によっては、状況に応じて下記のストアがある場合があります。上記で説明した vecs-cli コマンドを使用して、これらのストアに保存された証明書をリストしてください。
- BACKUP_STORE
- data-encipherment
- KMS_ENCRYPTION

Windows 用に格納された証明書のエクスポート：

注：次の手順は、Windows の C:\ ドライブのデフォルトインストールパスを使用して記載されています。デフォルト以外のインストールパスを使用している場合、次の手順を変更する必要があります。

管理者特権でのコマンドプロンプトを開きます。管理者権限のコマンドプロンプトが使用されていない場合、エントリリストコマンドは次の Win エラーで失敗します：access is denied。
次のコマンドを実行して、VECS 内に格納されているすべてのキーストアを一覧表示します。次のコマンドは、vCenter Server または Platform Services Controller から実行可能です。

"%VMWARE_CIS_HOME%"\vmafdd\vecs-cli entry getcert --store <stored name> --alias <alias name> --output c:\certificate\<certificate usage name>.crt

"%VMWARE_CIS_HOME%"\vmafdd\vecs-cli entry getkey --store <stored name> --alias <stored name> --output c:\certificate\<certificate usage name>.key

このコマンドが実行されるノードに応じて、次のストアのペアのいずれかを出力できます。

外部 Platform Services Controller の場合：

MACHINE_SSL_CERT
TRUSTED_ROOTS
TRUSTED_ROOT_CRLS
machine

外部 Platform Services Controller がある、または Platform Services Controller が埋め込まれている vCenter Server の場合：

MACHINE_SSL_CERT
TRUSTED_ROOTS
TRUSTED_ROOT_CRLS
machine
vpxd
vpxd-extension
vsphere-webclient
SMS
個別のキーストアを確認するには、次の例を使用して、格納されている証明書を一覧表示します。

"%VMWARE_CIS_HOME%"\vmafdd\vecs-cli entry getcert --store MACHINE_SSL_CERT --alias __MACHINE_CERT --output c:\certificates\machine_ssl.crt

"%VMWARE_CIS_HOME%"\vmafdd\vecs-cli entry getkey --store MACHINE_SSL_CERT --alias __MACHINE_CERT --output c:\certificates\machine_ssl.key

"%VMWARE_CIS_HOME%"\vmafdd\vecs-cli entry getcert --store vpxd-extension --alias vpxd-extension --output c:\certificates\vpxd-extension.crt

"%VMWARE_CIS_HOME%"\vmafdd\vecs-cli entry getkey --store vpxd-extension --alias vpxd-extension --output c:\certificates\vpxd-extension.key

"%VMWARE_CIS_HOME%"\vmafdd\vecs-cli entry getcert --store vpxd --alias vpxd --output c:\certificates\vpxd.crt

"%VMWARE_CIS_HOME%"\vmafdd\vecs-cli entry getkey --store vpxd --alias vpxd --output c:\certificates\vpxd.key

"%VMWARE_CIS_HOME%"\vmafdd\vecs-cli entry getcert --store machine --alias machine --output c:\certificates\machine.crt

"%VMWARE_CIS_HOME%"\vmafdd\vecs-cli entry getkey --store machine --alias machine --output c:\certificates\machine.key

"%VMWARE_CIS_HOME%"\vmafdd\vecs-cli entry getcert --store vsphere-webclient --alias vsphere-webclient --output c:\certificates\vsphere-webclient.crt

"%VMWARE_CIS_HOME%"\vmafdd\vecs-cli entry getkey --store vsphere-webclient --alias vsphere-webclient --output c:\certificates\vsphere-webclient.key

vCenter Server Appliance 用に格納された証明書のエクスポート：

vCenter Server Appliance への SSH セッションを開きます。Root でログインします。次のコマンドを使用して、BASH シェルセッションの使用に切り替えます。

shell.set --enabled true

shell
"mkdir /certificate" コマンドを実行し、エクスポート用ディレクトリを作成します。
次のコマンドを実行して、VECS 内に格納されているキーと証明書のペアを 1 つずつエクスポートします。次のコマンドは、vCenter Server または Platform Services Controller から実行可能です。

/usr/lib/vmware-vmafd/bin/vecs-cli entry getcert --store <stored name> --alias <alias name> --output /certificate/<certificate usage name>.crt

/usr/lib/vmware-vmafd/bin/vecs-cli entry getkey --store <stored name> --alias <stored name> --output /certificate/<certificate usage name>.key

このコマンドが実行されるノードに応じて、次のストアのペアのいずれかを出力できます。

外部 Platform Services Controller：

MACHINE_SSL_CERT
TRUSTED_ROOTS
TRUSTED_ROOT_CRLS
machine

外部 Platform Services Controller がある、または Platform Services Controller が埋め込まれている vCenter Server Appliance：

MACHINE_SSL_CERT
TRUSTED_ROOTS
TRUSTED_ROOT_CRLS
machine
vpxd
vpxd-extension
vsphere-webclient
SMS
例として、次のコマンドを使用して、格納されているペアをエクスポートします。

/usr/lib/vmware-vmafd/bin/vecs-cli entry getcert --store MACHINE_SSL_CERT --alias __MACHINE_CERT --output /certificate/Machine_SSL.crt

/usr/lib/vmware-vmafd/bin/vecs-cli entry getkey --store MACHINE_SSL_CERT --alias __MACHINE_CERT --output /certificate/Machine_SSL.key

/usr/lib/vmware-vmafd/bin/vecs-cli entry getcert --store vpxd-extension --alias vpxd-extension --output /certificate/vpxd-extension.crt

/usr/lib/vmware-vmafd/bin/vecs-cli entry getkey --store vpxd-extension --alias vpxd-extension --output /certificate/vpxd-extension.key

/usr/lib/vmware-vmafd/bin/vecs-cli entry getcert --store vpxd --alias vpxd --output /certificate/vpxd.crt

/usr/lib/vmware-vmafd/bin/vecs-cli entry getkey --store vpxd --alias vpxd --output /certificate/vpxd.key

/usr/lib/vmware-vmafd/bin/vecs-cli entry getcert --store machine --alias machine --output /certificate/machine.crt

/usr/lib/vmware-vmafd/bin/vecs-cli entry getkey --store machine --alias machine --output /certificate/machine.key

/usr/lib/vmware-vmafd/bin/vecs-cli entry getcert --store vsphere-webclient --alias vsphere-webclient --output /certificate/vsphere-webclient.crt

/usr/lib/vmware-vmafd/bin/vecs-cli entry getkey --store vsphere-webclient --alias vsphere-webclient --output /certificate/vsphere-webclient.key

Additional Information

VMware の証明書の更新については、以下を参照してください。

Replacing the vSphere 6.0 Machine SSL certificate with a VMware Certificate Authority issued certificate (2112279)