新しい自己署名 VMware 認証局の証明書を使用して vSphere 6.x/7.x の証明書を再生成する

Products

VMware vCenter Server VMware vSphere ESXi

Issue/Introduction

この記事では、VMware Certificate Authority (VMCA) で新しい自己署名証明書を使用して vSphere 6.x/7.x の証明書を再生成する手順を説明します。

注：このプロセスは、証明書の期限が切れたシナリオを迅速にリカバリするのに役立ちます。

Symptoms:
免責事項：これは英文の記事「Regenerating the vSphere 6.0 certificates using a new self-signed VMware Certificate Authority certificate (2112283)」の日本語訳です。記事はベストエフォートで翻訳を進めているため、ローカライズ化コンテンツは最新情報ではない可能性があります。最新情報は英語版の記事で参照してください。

Environment

VMware vCenter Server 6.x

VMware vCenter Server 7.0.x
VMware vCenter Server 8.0.x

Resolution

Certificate Manager を使用して証明書を再生成する前に STS 証明書が有効であることを確認してください。
STS 証明書の期限が失効していたり破損したりしている場合は、証明書の再生成が失敗します。
この手順は VMCA Root 証明書を新しい自己署名証明書で置き換えた後、マシン SSL 証明書とソリューションユーザー証明書を VMCA で発行された新しい証明書で置き換えます。
もし外部の Platform Services Controller がある場合には、外部の vCenter Server 6.x で vSphere 6.x Certificate Manager を動作させ、下記の作業を実行する必要があります。
- マシン SSL 証明書を VMCA 証明書と置き換えます (オプション 3)
- ソリューションユーザー証明書を VMCA 証明書と置き換えます (オプション 6)

注: STS 証明書の有効期限が失効している場合、以下の手順での証明書の置き換えは失敗しロールバックされます。STS 証明書の有効期限を確認する KB を参照し、必要な場合は失効した STS 証明書を置換します。

STS 証明書の有効期限が失効していないことを確認できたら下記の手順を実施してください。

新しい自己署名 VMware 認証局の証明書を使用して vSphere Server の証明書を再生成するには:

vSphere 6.x/7.x の Certificate Manager を起動します。

vCenter Server 6.x/7.x Appliance の場合

/usr/lib/vmware-vmca/bin/certificate-manager

Windows vCenter Server 6.x の場合

C:\Program Files\VMware\vCenter Server\vmcad\certificate-manager
[オプション 4] (Regenerate a new VMCA Root Certificate and replace all certificates) を選択します。

注：また、[オプション 8] (Reset all Certificates) を選択することもできます。どちらのオプションも実行する機能は同じです。(違いはオプション8が証明書の自動ロールバックを実行しないことです)
プロンプトが表示されたら、[email protected] のパスワードを入力します。
VMCA 証明書をこのシステム上で初めて再生成する場合は、certool.cfg を構成するよう求められます。ここで構成した値は、以降のタスクで再利用するように提示されます。

注：これらの値は、VMCA によって発行された証明書を定義するのに使用されます。

VMCA のプロンプトに従ってこれらの値を入力します。

Please configure certool.cfg file with proper values before proceeding to next step. Press Enter key to skip optional parameters or use Default value. Enter proper value for 'Country' [Default value : US] : Enter proper value for 'Name' [Default value : Acme] : Enter proper value for 'Organization' [Default value : AcmeOrg] : Enter proper value for 'OrgUnit' [Default value : AcmeOrg Engineering] : Enter proper value for 'State' [Default value : California] : Enter proper value for 'Locality' [Default value : Palo Alto] : Enter proper value for 'IPAddress' [optional] : Enter proper value for 'Email' [Default value : [email protected]] : Enter proper value for 'Hostname' [Enter valid Fully Qualified Domain Name(FQDN), For Example : example.domain.com] :
Enter proper value for VMCA 'Name' : (注：この情報はvCenter Server6.0U3、6.5及びそれ以降のbuildsをご使用されている場合に必要となります。VMCAのルート証明書に対する共通名としてvCenter ServerのFQDNを使用することができます。）
確認要求に「Yes (Y)」と入力して、続行します。

You are going to regenerate Root Certificate and all other certificates using VMCA
Continue operation : Option[Y/N] ? : Y

注: 証明書を置き換える際、'Name', 'Hostname' と VMCA の値はノードのPNIDとマッチする必要があります。PNID は'Hostname' と常にマッチする必要があります。PNID を確認するには下記のコマンドを実施します:

vCenter Server Applicance (VCSA) の場合
/usr/lib/vmware-vmafd/bin/vmafd-cli get-pnid --server-name localhost

Windows vCenter Server の場合
C:\Program Files\VMware\vCenter Server\vmafdd\" vmafd-cli.exe get-pnid --server-name localhost