組み込み Platform Services Controller のある環境における外部ソリューションの vCenter Server 証明書検証エラー
search cancel

組み込み Platform Services Controller のある環境における外部ソリューションの vCenter Server 証明書検証エラー

book

Article ID: 324158

calendar_today

Updated On:

Products

VMware VMware Aria Suite VMware Live Recovery VMware NSX Networking VMware vCenter Server VMware vSphere ESXi VMware Integrated OpenStack

Issue/Introduction

Symptoms:

免責事項:これは英文の記事「vCenter Server certificate validation error for external solutions in environments with Embedded Platform Services Controller (2121689)」の日本語訳です。記事はベストエフォートで翻訳を進めているため、ローカライズ化コンテンツは最新情報ではない可能性があります。最新情報は英語版の記事で参照してください。

VMware vCenter Site Recovery Manager や VMware vSphere Replication、VMware vCenter Support Assistant などの一部のソリューションは、vCenter Server システムではないマシンに常にインストールされます。

組み込み Platform Services Controller 搭載の vCenter Server システムのマシン SSL 証明書を置き換えると、ソリューションが vCenter Server システムに接続を試みたときに接続エラーが発生します。この理由は、vCenter Server システムは新しい証明書を使用しますが、VMware Lookup Service のある対応する登録が更新されないためです。ソリューションが vCenter Server に接続するとき、サービス URL および sslTrust 文字列を含むサービス登録情報を使用します。sslTrust 文字列は、Base 64 エンコードされた証明書です。デフォルトの場合、古い証明書は、vCenter Server 証明書を正常に置き換えることができてもサービス登録の一部のままです。
 
この記事では、組み込み Platform Services Controller のある環境での問題を解決する方法について説明します。 警告(vSphere 6.0 のみ):
 
Platform Services Controller を実行している Windows Server の場合は、ls_update_certs.py スクリプトを実行する前に lstoolutil.py ファイルを置き換える必要があります。
lstoolutil.py を置き換えるには、次の手順を実行します。
  1. 既存の "%VMWARE_CIS_HOME%"\VMware Identity Services\lstool\scripts\lstoolutil.py ファイルをバックアップします。デフォルトでは、ファイルは C:\Program Files\VMware\vCenter Server\VMware Identity Services\lstool\scripts\ にあります。
  2. 添付の 2121701_lstoolutil.py.zip ファイルをダウンロードします。
  3. lstoolutil.py ファイルを 2121701_lstoolutil.py.zip ファイルから "%VMWARE_CIS_HOME%"\VMware Identity Services\lstool\scripts\ に抽出します。

この問題は、vSphere 6.0 Update 1 で解決されました。


Environment

VMware vCenter Server 6.5.x
VMware vCenter Support Assistant 6.0.x
VMware vCenter Server Appliance 6.5.x
VMware vSphere Replication 6.0.x
VMware vCenter Server Appliance 6.7.x
VMware Integrated OpenStack 1.0.x
VMware vCenter Server 6.7.x
VMware vCenter Site Recovery Manager 6.0.x
VMware vCenter Server Appliance 6.0.x
VMware vCenter Server 6.0.x
VMware NSX for vSphere 6.1.x

Resolution

この問題は、vCenter Server 6.0 Update 1b で解決されており、VMware Downloads で入手できます。詳細については、『VMware vCenter Server 6.0 Update 1b Release Notes』を参照してください。
 
  • 該当するシステムに vCenter Server 6.0 Update 1b をインストールしても、もう一度証明書を置き換えるまで、問題は解決しません。
  • この Update で解決されるのは、Certificate Manager ユーティリティを使用した証明書の置き換えの問題です。この Update で、Services Controller UI からの証明書の置き換えの問題は解決されません。

 
Platform Services Controller ユーザー インターフェイスを使用して証明書を置き換える場合にこの問題を解決するには、Platform Services Controller で ls_update_certs.py スクリプトを実行します。スクリプトを実行するときは、古い証明書と新しい証明書を渡します。
  • 常に Platform Services Controller でこのスクリプトを実行してください。
  • スクリプトを実行するには、古い vCenter Server 証明書のサムプリントと新しい証明書が必要です。これらのファイルは、スクリプトを実行する前に Platform Services Controller にアップロードする必要があります。
  • スクリプトを実行する前に既存の証明書を必ずバックアップしてください。
  • 証明書を置き換えるたびにこのスクリプトを実行してください。
このプロセスにはいくつかのタスクが含まれます。
 

タスク 0:組み込み PSC を持つ vCenter Server の sslTrust アンカーを検証する

組み込み PSC を持つ vCenter Server Appliance のコマンド ラインから sslTrust アンカーを検証する
  1. SSH またはコンソールを使用して、外部 Platform Services Controller アプライアンスにログインします。
  2. 次のコマンドを実行して、Bash シェルへのアクセスを有効にします。

    shell.set --enabled true
     
  3. 「shell」と入力し Enter を押します。
  4. 次のコマンドを実行して、Platform Services Controller のために格納された現在の sslTrust アンカーを取得します。

    /usr/lib/vmidentity/tools/scripts/lstool.py list --url https://localhost/lookupservice/sdk --no-check-cert --ep-type com.vmware.cis.cs.identity.sso 2>/dev/null

    例:

    :読みやすさを考慮して、SSL トラストは一部省略しています。

    Service Product: com.vmware.cis
    Service Type: cs.identity
    Service ID:04608398-1493-4482-881b-b35961bf5141
    Site ID: vmware
    Owner ID: [email protected]
    Version:2.0
    Endpoints:
    Type: com.vmware.cis.cs.identity.sso
    Protocol: wsTrust
    URL: https://psc.vmware.local/sts/STSService/vsphere.local
    SSL trust: MIIDWDCCAkCgAwIBAgIJANr+++MJ5+WxMA0GCSqGSIb3DQEBCwUAMGgxCzAJBgNV ...LqSKWg/apP1XlBV1VyC5LPZrH/rrq8+Naoj7i/P6HAzTwAAL+O10ggClaP8=
     
  5. 次のコマンドを実行して、Platform Services Controller のポート 443 で使用される現在の SSL 証明書を取得します。

    echo | openssl s_client -connect localhost:443

    例:

    :読みやすさを考慮して、証明書は一部省略しています。

    CONNECTED(00000003)
    depth=3 /DC=local/DC=VMWARE/CN=VMWARE-WCA-CA-1
    verify return:1
    depth=2 /DC=local/DC=VMWARE/CN=VMWARE-WCAI-CA-1
    verify return:1
    depth=1 /C=US/DC=vsphere/DC=local/O=psc.vmware.local/CN=CA
    verify return:1
    depth=0 /CN=psc.vmware.local/C=US
    verify return:1
    ---
    Certificate chain
    0 s:/CN=psc.vmware.local/C=US
    i:/C=US/DC=vsphere/DC=local/O=psc.vmware.local/CN=CA
    ---
    Server certificate
    -----BEGIN CERTIFICATE-----
    MIIDWDCCAkCgAwIBAgIJANr+++MJ5+WxMA0GCSqGSIb3DQEBCwUAMGgxCzAJBgNV
    ...
    LqSKWg/apP1XlBV1VyC5LPZrH/rrq8+Naoj7i/P6HAzTwAAL+O10ggClaP8=

    -----END CERTIFICATE-----
     
  6. vSphere ドメインに複数の PSC がある場合は、残りの PSC ノードに対して FQDN を使用して次のコマンドを繰り返します。

    echo | openssl s_client -connect psc2.vmware.local:443
     
  7. openssl s_client と lstool.py の出力を使用して、返される SSL 証明書が組み込み Platform Services Controller を持つお使いの vCenter Server と一致しているかどうかを確認します。一致する場合は、以降の手順を実行する必要はありません。一致しない場合は、「タスク 1: 管理対象オブジェクト ブラウザ (MOB) から古い証明書を取得する」に進んで sslTrust アンカーの更新を開始します。

組み込み PSC インストールを持つ Windows vCenter Server のコマンド ラインから sslTrust アンカーを検証する
  1. リモート デスクトップ セッションを使用して、外部 Platform Services Controller に接続します。
  2. 管理コマンド プロンプトを開きます。
  3. 次のコマンドを実行して、Platform Services Controller のために格納された現在の sslTrust アンカーを取得します。

    "%VMWARE_PYTHON_BIN%" "%VMWARE_CIS_HOME%\VMware Identity Services\lstool\scripts\lstool.py" list --url https://localhost/lookupservice/sdk --no-check-cert --ep-type com.vmware.cis.cs.identity.sso 2> NULL

    例:

    :読みやすさを考慮して、SSL トラストは一部省略しています。

    Service Product: com.vmware.cis
    Service Type: cs.identity
    Service ID: 04608398-1493-4482-881b-b35961bf5141
    Site ID: vmware
    Owner ID: [email protected]
    Version: 2.0
    Endpoints:
    Type: com.vmware.cis.cs.identity.sso
    Protocol: wsTrust
    URL: https://psc.vmware.local/sts/STSService/vsphere.local
    SSL trust: MIIDWDCCAkCgAwIBAgIJANr+++MJ5+WxMA0GCSqGSIb3DQEBCwUAMGgxCzAJBgNV ... LqSKWg/apP1XlBV1VyC5LPZrH/rrq8+Naoj7i/P6HAzTwAAL+O10ggClaP8=
     
  4. 次のコマンドを実行して、Platform Services Controller のポート 443 で使用される現在の SSL 証明書を取得します。

    "%VMWARE_OPENSSL_BIN%" s_client -connect localhost:443

    例:

    :読みやすさを考慮して、証明書は一部省略しています。

    CONNECTED(00000003)
    depth=3 /DC=local/DC=VMWARE/CN=VMWARE-WCA-CA-1
    verify return:1
    depth=2 /DC=local/DC=VMWARE/CN=VMWARE-WCAI-CA-1
    verify return:1
    depth=1 /C=US/DC=vsphere/DC=local/O=psc.vmware.local/CN=CA
    verify return:1
    depth=0 /CN=psc.vmware.local/C=US
    verify return:1
    ---
    Certificate chain
    0 s:/CN=psc.vmware.local/C=US
    i:/C=US/DC=vsphere/DC=local/O=psc.vmware.local/CN=CA
    ---
    Server certificate
    -----BEGIN CERTIFICATE-----
    MIIDWDCCAkCgAwIBAgIJANr+++MJ5+WxMA0GCSqGSIb3DQEBCwUAMGgxCzAJBgNV
    ...
    LqSKWg/apP1XlBV1VyC5LPZrH/rrq8+Naoj7i/P6HAzTwAAL+O10ggClaP8=

    -----END CERTIFICATE-----
     
  5. openssl s_client と lstool.py の出力を使用して、出力される SSL 証明書が組み込み Platform Services Controller を持つお使いの vCenter Server と一致しているかどうかを確認します。一致する場合は、以降の手順を実行する必要はありません。一致しない場合は、「タスク 1: 管理対象オブジェクト ブラウザ (MOB) から古い証明書を取得する」に進んで sslTrust アンカーの更新を開始します。

タスク 1:古い証明書を取得する

古い証明書は、Managed Object Browser (MOB) を使用して、またはバックアップ ストアから、取得することができます。バックアップ ストアには、各証明書の置き換え操作後の変更が含まれます。MOB を使用した方が信頼性が向上します。
 
証明書は、次の手順を実行することにより、ArrayOfLookupServiceRegistrationInfo 管理オブジェクトの sslTrust フィールドで見つけることができます。
  1. Platform Services Controller で、古い証明書を格納するディレクトリを作成します。この記事では以下の場所を使用します。
     
    Platform Services Controller アプライアンス/certificates
    Windows の Platform Services ControllerC:\certificates\
  2. MOB を開くには、https://vc_with_embedded_psc.example.com/lookupservice/mob?moid=ServiceRegistration&method=List にアクセスします。
  3. プロンプトが表示されたら、[email protected] のユーザー名とパスワードを使用してログインします。カスタム vCenter Single Sign-On ドメインを使用している場合は、そのユーザー名とパスワードを使用します。
  4. [filterCriteria] テキスト フィールドで、タグ <filterCriteria></filterCriteria> のみを残し [メソッドの起動] をクリックします。ArrayOfLookupServiceRegistrationInfo オブジェクトが表示されます。
  5. ぺージで、vc1.example.com を検索 (Ctrl+F) します。
  6. 対応する sslTrust フィールドの値を検索します。このフィールドの内容は古い証明書の Base64 エンコードされた文字列です。vc1.example.com や Base64 エンコード文字列の発生のいずれも受け入れられます。

    次の例をモデルとして使用します(読みやすくするために実際の文字列が大幅に短縮されています)。
     
    sslTrustArrayofStringMIIDfjCCAmag...
    URL:anyURIhttps://vcenter.vmware.local:443/sdk
  7. Base64 エンコードされた文字列をファイルにコピーして、ファイルを old_machine.txt として保存します。
  8. テキスト エディタで old_machine.txt を開きます。
  9. 文字列の先頭に -----BEGIN CERTIFICATE----- を追加し、文字列の最後に -----END CERTIFICATE----- を追加します。sslTrust フィールドからコピーしたコンテンツの各行の 64 文字目の後に改行を追加します。

    例:

    -----BEGIN CERTIFICATE-----
    LIIDeDCCAmCgAwIBAgIJAP7kGwWSSd0yMA0GCSqGSIb3DQEBCwUAMGgxCzAJBgNV
    PAMMAkNBMRcwFQYKCZImiZPyLGQBGRYHdnNwaGVyZTEVMBMGCgmSJomT8ixkARkW
    QWxvY2FsMQswCQYDVQQGEwJVUzEcMBoGA1UECgwTaG9tZXBzYy5mcml0ei5sb2Nh
    NDAeFw0xNTA4MTAwMDMwMjZaFw0yNTA4MDQwMDMwMjVaMCsxHDAaBgNVBAMME2hv
    HWVwc2MuZnJpdHoubG9jYWwxCzAJBgNVBAYTAlVTMIIBIjANBgkqhkiG9w0BAQEF
    LAOCAQ8AMIIBCgKCAQEAzuf/uVMLwlkUKsMXsUPigqZdrXKzEOEzOQ04q8YgVvDX
    w7MAPSTMZzeUsI6P+/4doZU14zAQTl/6dnbwYg65p9mv7CVJb4QgAJH9xFD+33Ab
    aQX7za/bWPgyxsPtccnn+si8QQDx9mMZbDzF0gjdARvpKWwVv4lln8iZ8wUahyC7
    bxnzc5/oWo4Z3DTruHMnvadHRZWzZTn8YeID06R2g8Yu5c50wXbAvNj3TE4x0Qyv
    fUbABXvv2EdYC5tb3g++L6A6tuWYgl+dr4KJ1G5gLvliECAsWsMwtQXq5nH65JdV
    XvRUVIlajC9OavGkd+ziT3yRibJBu2NJrLQp7ehgmQIDAQABo2IwYDAeBgNVHREE
    FzAVghNob21lcHNjLmZyaXR6LmxvY2FsMB0GA1UdDgQWBBSaRwv8djR7+qg7Wk3A
    zib3C3ArljAfBgNVHSMEGDAWgBRkYn4wsyRye8o14OoE3AOTMus6rzANBgkqhkiG
    9w0BAQsFAAOCAQEAU3X/ZEDXO8yDRJkjrQH0acxoc76QRDv+3s6yCpPFU8HmqU1E
    LmoDq67rHoKZw5ziBR/lGHn5oVHYYuJRFdO/b8NO1t2MnedhAaenqmAr4v0FzH6K
    UCgiLq8+ZMPFBz3qFu2i0I8mG6Yy0ud9T4wWUabgZ1C3sDNkQ+NLHXKVxNrPwgQd
    3KyrNpXgBQ0+ZWY3xvvdW5yOwnWkeAeqnGRYvzifG9M6DK/YMP1S/akAJvXSgEkJ
    PEJ3vlvSRy7l2lvU19upt4O/BAk3ZJ+X5uFtv/4GMdbEVZBCmNDS7Y85NorISiQf
    AVy/R2wjP4rNWDfN9DMCcwfPvw/0nFwrpr+0Cg==
    -----END CERTIFICATE-----
     
  10. old_machine.txt を old_machine.crt として保存します。
  11. ファイルを、手順 1 で指定した Platform Services Controller の場所に移動またはアップロードします。
     
    Platform Services Controller アプライアンス/certificates/old_machine.crt
    Windows の Platform Services ControllerC:\certificates\old_machine.crt
これで、サムプリントをこのファイルから抽出できます。
 

タスク 2:古い証明書からサムプリントを抽出する

サムプリントは、コマンド ラインから、または証明書ビューア ツールを使用して抽出することができます。証明書を抽出したら、それを Platform Services Controller にアップロードすることができます。
 
アプライアンスのコマンド ラインからサムプリントを抽出する
  1. SSH を使用して外部 Platform Services Controller アプライアンスにログインします。
  2. 次のコマンドを実行して、Bash シェルへのアクセスを有効にします。

    shell.set --enabled true
     
  3. 「shell 」と入力し、Enter キーを押します。
  4. 次のコマンドを実行して、サムプリントを取得します。

    openssl x509 -in /certificates/old_machine.crt -noout -sha1 -fingerprint

    次のような出力が表示されます。

    SHA1 Fingerprint=13:1E:60:93:E4:E6:59:31:55:EB:74:51:67:2A:99:F8:3F:04:83:88

    等号の後に続く一連の数字と文字がサムプリントです。

 
Windows インストールのコマンド ラインからサムプリントを抽出する
  1. 外部 Platform Services Controller にリモート デスクトップ接続します。
  2. 管理コマンド プロンプトを開きます。
  3. 次のコマンドを実行して、サムプリントを取得します。

    "%VMWARE_OPENSSL_BIN%" x509 -in c:\certificates\old_machine.crt -noout -sha1 -fingerprint

    次のような出力が表示されます。

    SHA1 Fingerprint=13:1E:60:93:E4:E6:59:31:55:EB:74:51:67:2A:99:F8:3F:04:83:88

    等号の後に続く一連の数字と文字がサムプリントです。
証明書ビューア ツールを使用してサムプリントを抽出する
 
下記の手順を行い、サムプリントを抽出できます。
  1. 証明書ビューア ツールを使用してファイルを開きます。Windows の Windows 証明書 ビューアでファイルをダブルクリックして開きます。
  2. SHA1 サムプリント文字列を取得します。Windows 証明書 ビューアで SHA1 サムプリント フィールドを選択します。
  3. サムプリントの文字列をテキスト エディタにコピーし、スペースをコロンに置き換えます。

    :テキスト エディタによっては、非表示文字が先頭に追加される場合があります。サムプリントの最初の文字と関連するスペースを削除し、文字を貼り付けるのではなく入力します。

タスク 3 に進み、新しい証明書を取得します。

タスク 3:新しい証明書を取得する

新しい証明書をアーカイブしなかった場合は、vecs-cli を使用して取得できます。

vCenter Server Appliance の新しい証明書を取得する

  1. コンソールまたは SSH セッションを使用して、vCenter Server システムにログインします。
  2. 次のコマンドを実行して、Bash シェルへのアクセスを有効にします。

    shell.set --enabled true
     
  3. shell」と入力し、Enter キーを押します。
  4. 次のコマンドを実行して、新しい証明書を表示します。

    /usr/lib/vmware-vmafd/bin/vecs-cli entry list --store MACHINE_SSL_CERT
     
  5. 次のコマンドを使用して、証明書をファイルにエクスポートします。

    /usr/lib/vmware-vmafd/bin/vecs-cli entry getcert --store MACHINE_SSL_CERT --alias __MACHINE_CERT --output /certificates/new_machine.crt
     
  6. WinSCP またはその他の SCP クライアントを使用して、証明書を Platform Services Controller に移動またはアップロードします。

Windows インストールで vCenter Server の新しい証明書を取得する

  1. vCenter Server システムにリモート デスクトップ接続します。
  2. 管理コマンド プロンプトを開きます。
  3. 次のコマンドを実行して、新しい証明書を表示します。

    "%VMWARE_CIS_HOME%"\vmafdd\vecs-cli entry list --store MACHINE_SSL_CERT --text |more
     
  4. 次のコマンドを使用して、証明書をファイルにエクスポートします。

    "%VMWARE_CIS_HOME%"\vmafdd\vecs-cli entry getcert --store MACHINE_SSL_CERT --alias __MACHINE_CERT --output c:\certificates\new_machine.crt
     
  5. WinSCP またはその他の SCP クライアントを使用して、証明書を Platform Services Controller に移動またはアップロードします。
タスク 4 に進み、タスク 1 ~ 3 で集めた情報を使用して、スクリプトを実行します。


タスク 4:ls_update_certs.py スクリプトを実行する

vCenter Server 証明書を置き換えてから、Platform Services Controller の ls_update_certs.py スクリプトを実行します。スクリプトの実行を成功させるには、古い vCenter Server 証明書と新しい vCenter Server の証明書の両方のサムプリントが必要です。
 
警告:このスクリプトのアクションは元に戻すことができません。問題が発生した場合にリカバリを行えるように、仮想マシンのバックアップまたはスナップショットを作成します。
 
:Windows システムの場合、パスワードは二重引用符で囲みます。

アプライアンスで ls_update_cert を実行する

ls_update_certs スクリプトは次の場所にあります。 /usr/lib/vmidentity/tools/scripts/ls_update_certs.py.

  1. コンソールまたは SSH セッションを介して外部 Platform Services Controller アプライアンスにログインします。
  2. 次のコマンドを実行して、Bash シェルへのアクセスを有効にします。

    shell.set --enabled true
     
  3. 「shell 」と入力し、Enter キーを押します。
  4. 次のコマンドを使用して、ディレクトリを /usr/lib/vmidentity/tools/scripts/ に変更します。

    cd /usr/lib/vmidentity/tools/scripts/
     
  5. 次のコマンドを実行します:

    python ls_update_certs.py --url Lookup_Service_FQDN_of_Platform_Services_Controller --fingerprint Old_Certificate_Fingerprint_from_Task_2 --certfile New_Certificate_Path_from_Task_3 --user [email protected] --password 'Password'

    例(この例で使用されたフィンガープリントをコピーしない):

    python ls_update_certs.py --url https://psc.vmware.com/lookupservice/sdk --fingerprint 13:1E:60:93:E4:E6:59:31:55:EB:74:51:67:2A:99:F8:3F:04:83:88 --certfile /certificates/new_machine.crt --user [email protected] --password 'Password'

Platform Services Controller の Windows インストールで ls_update_cert を実行する

  1. リモート デスクトップ セッションおよび管理者権限を使用して、外部 Platform Services Controller に接続します。
  2. 管理コマンド プロンプトを開きます。
  3. 次のコマンドを実行してディレクトリを C:\Program Files\VMware\vCenter Server\VMware Identity Services\lstool\scripts\ に移動します。

    cd C:\Program Files\VMware\vCenter Server\VMware Identity Services\lstool\scripts\
     
  4. 次のコマンドを実行します:

    "%VMWARE_PYTHON_BIN%" ls_update_certs.py --url Lookup_Service_FQDN_of_Platform_Services_Controller --fingerprint Old_Certificate_Fingerprint_from_Task_2 --certfile New_Certificate_Path_from_Task_3 --user Username --password Password

    例(この例で使用されたフィンガープリントをコピーしない):

    "%VMWARE_PYTHON_BIN%" ls_update_certs.py --url https://psc.vmware.com/lookupservice/sdk --fingerprint 13:1E:60:93:E4:E6:59:31:55:EB:74:51:67:2A:99:F8:3F:04:83:88 --certfile c:\certificates\new_machine.crt --user [email protected] --password Password

追加情報

ls_update_cert の構文

次の構文を使用してスクリプトを実行します。
python ls_update_certs.py --url LS_URL --fingerprint OLD_CERT_SHA1_HASH --certfile NEW_CERT_PEM_FILEPATH --user USER --password PASSWORD

 

LS_URLLookup Service の URL。外部 Platform Services Controller で、次の URL をモデルとして使用します。
https://external_platform_services_controller_FQDN.example.com/lookupservice/sdk
OLD_CERT_SHA1_HASHタスク 2 で取得した、証明書を置き換える前に vCenter Server または Platform Services Controller が使用していた証明書のサムプリント。
 
最初に古い証明書を取得します。
  • 可能な場合、証明書の置き換えを行う前に vCenter Server システムから現在の証明書をダウンロードします。詳細については、「How to download and install vCenter Server root certificates to avoid Web Browser certificate warnings (2108294)」を参照してください。
  • あるいは、以下の手順に従うこともできます:「タスク 1:管理対象オブジェクト ブラウザから古い証明書を取得する」。
  • 証明書を 1 つしか置き換えていない場合は、代わりに、「追加情報」にリストで記載されている「管理対象オブジェクト ブラウザから古い証明書を取得する」の手順を使用することもできます。
次に古い証明書からサムプリントを取り出します。
:VMware では、ファイルシステム内の古い vCenter Server 証明書を検索することをお勧めしていません。
NEW_CERT_PEM_FILEPATHタスク 3 で取得した、新しい vCenter Server マシン SSL 証明書の PEM エンコードされたファイル
 
証明書の置き換えの一部として渡したファイルを使用します。ファイルを持っていない場合は、「新しい証明書を取得する」の処理を行います。
 
:ファイルシステムでの新しい vCenter Server 証明書の検索は推奨しません。
USER and PASSWORDvCenter Single Sign-On の管理者権限を保有するユーザー

 

BACKUP_STORE から古い証明書を取得する

vSphere Certificate Manager ユーティリティを使用している場合は、古いマシンの SSL 証明書を VECS 内の BACKUP_STORE から取得できます。
 
:バックアップ ストアは、最後の証明書のみ保存します。複数の置換動作を行う場合は、次で説明するように証明書を MOB から取得できます。
 
vCenter Server Appliance では、古い証明書のサムプリントを次のように取得します。
  1. 次のコマンドを実行して、Machine_Cert エントリを探し、それが以前の証明書であることを確認します。

    /usr/lib/vmware-vmafd/bin/vecs-cli entry list --store BACKUP_STORE --text
     
  2. Machine_Cert の下の bkp___Machine_Cert に注意してください。
  3. 次のコマンドを実行して BACKUP_Store から Machine_Cert を出力します。

    /usr/lib/vmware-vmafd/bin/vecs-cli entry getcert --store BACKUP_STORE --alias bkp___MACHINE_CERT --output /certificates/old_machine.crt
     
  4. 次のコマンドを実行して、サムプリントを出力します。

    openssl certificate -fingerprint< -sha1 -noout /certificates/old_machine.crt -in x509>

    次のような出力が表示されます。

    SHA1 Fingerprint=11:41:9F:D8:CF:27:6B:EA:F7:49:20:3E:D7:90:8C:F6:A0:62:E1:31

vCenter Server Windows システムで、古い証明書を次のように取得します。

  1. 次のコマンドを実行して、Machine_Cert エントリを探し、それが以前の証明書であることを確認します。

    "%VMWARE_CIS_HOME%"\vmafdd\vecs-cli entry list --store BACKUP_STORE –text | more
     
  2. BACKUP_Store から Machine_Cert を出力するには、次のコマンドを実行します。

    "%VMWARE_CIS_HOME%"\vmafdd\vecs-cli entry getcert --store BACKUP_STORE --alias bkp___MACHINE_CERT --output c:\certificates\old_machine.crt
     
  3. 次のコマンドを実行して、サムプリントを出力します。

    openssl certificate -fingerprint< -sha1 -noout c:\certificates\old_machine.crt -in x509>

    次のような出力が表示されます。

    SHA1 Fingerprint=11:41:9F:D8:CF:27:6B:EA:F7:49:20:3E:D7:90:8C:F6:A0:62:E1:31