開始する前に
続行する前に、次の点を認識していることを確認してください。
- vCenter Server サービスを仮想マシンで実行している場合、不具合が発生した場合のリカバリ時間を早めるために、プロセスを開始する前に仮想マシンのスナップショットを作成します。処理が正常に完了したら、必ずスナップショットも削除します。
- 証明書をロード バランサーなどのサードパーティ製コンポーネントに対し、および非 Window OS マシンで更新する場合は、手動で行う必要があります。
- ^ (キャレット)文字を含む入力は許可されません。
- ツールのパスやファイル名または新しい証明書に、^ (キャレット)、% (パーセント)、& (アンパサンド)、; (セミコロン)、または ) (閉じ括弧)などの特殊文字が含まれると、ツールは失敗し、終了するか、例外をスローするか、または証明書かキー ファイルが見つからないと報告します。
- これらのサービスの不具合を回避するために、環境で実行中の依存ソリューションをシャットダウンする必要があります。証明書の更新時にシャットダウンが必要な解決方法は次のとおりです。
- VMware Site Recovery Manager
- vSphere Data Recovery
- vCloud Director
- vCenter Server に接続している可能性のあるサードパーティのソリューション
これらの手順を実行する前に、以下の点を確認してください。
- この記事の「既知の問題」のセクションを確認したこと。
- vSphere 5.5 環境があること。
- 証明書をインストールするすべてのコンポーネントのために vSphere 5.5 環境が事前にインストールされていること。
- お使いの認証局サーバの
Web Server
テンプレートでキー用途の拡張を参照して、digitalSignature
、keyEncipherment
、および dataEncipherment
の各証明書生成オプションが有効になっていることを確認すること。 - ワイルド カード証明書を使用していないこと。vSphere 5.x で、各証明書は一意である必要があり、その結果ワイルドカード証明書はサポートされません。
SSL Certificate Automation Tool のインストールまたはアップグレード
vSphere コンポーネントが存在する各マシンに SSL Certificate Automation Tool をインストールし、デプロイする必要があります。ただし、単一のマシンでツールを使用して初期計画を行うことができます。
SSL Certificate Automation Tool をインストールするために次の 3 つの構成が可能です。
- 単一マシン(1 つのマシンにすべてのサービス)
すべてのサービスが同じマシン上にあります。この場合、SSL Certificate Automation Tool を 1 つのマシンに展開する必要があります。
- 複数のマシン(サービス別マシン)
各サービスが異なるマシン上にあります。この場合、SSL Certificate Automation Tool を 7 つのサービスのいずれかを実行している各マシンに展開する必要があります。
- 複合モード(マシンごとに複数のサービス)
一部のサービスが 1 台のマシンで実行されますが、その他のサービスは別のマシンで実行されます。この場合、SSL Certificate Automation Tool を、更新対象のサービスがあるすべてのマシンと、更新対象のサービスと通信している展開済みのサービスがあるマシンに展開する必要があります。Update Steps Planner を使用して、デプロイの手順の正確な順序を決定します。
SSL Certificate Automation Tool のインストールSSL Certificate Automation Tool をインストールするには、次の手順を実行します。
注: SSL Certificate Automation Tool のインストール パスにスペースが含まれることがないようにしてください。
- SSL Certificate Automation Tool を VMware Download Center からダウンロードします。このダウンロードは、vSphere および vCloud Suite のダウンロード ページの「Drivers and Tools」セクションにあります。
- vSphere コンポーネントが存在する各マシンにツールをコピーします。
- Zip 解凍ユーティリティを使用して、ディレクトリ構造を維持したまま Zip ファイルを任意のディレクトリに解凍します。
SSL Certificate Automation Tool のアップグレードSSL Certificate Automation Tool の新しいバージョンにアップグレードすることは、インストールの必要がないため簡単です。SSL Certificate Automation Tool を旧バージョンからアップグレードするには、次の手順を実行します。
注:SSL Certificate Automation Tool のインストール パスにはスペースが含まれないようにしてください。
- SSL Certificate Automation Tool を VMware Download Center からダウンロードします。このダウンロードは、vSphere および vCloud Suite のダウンロード ページの「Drivers and Tools」セクションにあります。
- vSphere コンポーネントが存在する各マシンにツールをコピーします。
- Zip 解凍ユーティリティを使用して、ツールが以前使用していたのとは別のディレクトリにディレクトリ構造を維持したままファイルを解凍します。
注:混乱を回避するため、ツールの旧バージョンも削除することをお勧めします。旧バージョンを削除するには、古いツールがあるフォルダを削除します。
SSL Certificate Automation Tool の使用
ツールをインストールしたら、それを使用して証明書を更新できます。ただし、開始する前にデフォルト値を事前定義して、プロセスを一部自動化することができます。これは必須ではありませんが、これにより後続の構成手順のエラーを回避することができます。デフォルト値を事前定義しない場合は、「
Update Steps Planner の実行」のセクションに進みます。
デフォルト値の事前定義ツールでデフォルト値を事前定義すると、入力ミスを防ぎ、時間を節約することができます。これによりツールは、ユーザーに入力を求める代わりに、デフォルトとして定義された特定の情報を自動的に含めます。セキュリティ上の理由により、デフォルト値の定義時はパスワードのみ保存できません。
デフォルト値を事前定義するには:
ssl-environment.bat
ファイルをメモ帳などのテキスト エディタで開きます。デフォルトの場合、このファイルはツール ディレクトリのルートにあります。- 更新する関連コンポーネントについてそれぞれ、必須パラメータと、変更するオプションのパラメータを入力します。たとえば、vCenter Server の場合は
vc_cert_chain
、vc_private_key
、および vc_username
パラメータを編集できます。
ssl-environment.bat
ファイル内の情報を含める場合は、SSL Certificate Automation Tool がこの情報を保存し、証明書の更新、信頼の更新、およびロールバック操作中に必要な入力の自動入力にその情報を使用します。
- すべての情報を入力したら、
ssl-environment.bat
ファイルをツールのディレクトリに保存して閉じます。
注:ツールの起動時に ssl-environment.bat
ファイルが作成する値は読み取り専用です。SSL Certificate Automation Tool の実行中に ssl-environment.bat
ファイルを実行する場合、値は読み取られません。
Update Steps Planner の実行
Update Steps Planner を使用することもできます。これにより、SSL 構成を適切に更新する必要のある順序を決定することができます。VMware では、構成が正しく更新されるように、Update Steps Planner で表示される手順にそのまま従うことをお勧めします。
Update Steps Planner を実行するには:
- SSL Certificate Automation Tool がインストールされているマシンにログインします。
- コマンド ラインで、ツールを解凍する場所に移動します。
- 次のコマンドを実行します。
ssl-updater.bat
- メイン メニューで、Plan your steps to update SSL certificates を選択し、SSL 証明書の更新に必要な手順を決定します。
- 更新するサービスを示す番号を入力します。
複数の SSL 証明書を更新するには、番号をカンマで区切ります。たとえば、SSL 証明書を Single Sign-On、vCenter Server および vSphere Web Client で更新するには、次を入力します。:
1,3,4
ツールでサポートされているすべてのサービスで証明書を更新するには、8
と入力します。メニュー選択にはサポート対象のすべてのサービスが表示されます。
注: vSphere Web Client とログ ブラウザは同じマシンに存在します。
- Update Steps Planner には、実行が必要な事項とそれを実行する順序が表示されます。タスクを Planner で示される順序で実行します。
注: Update Steps Planner の使用時に、更新するすべてのサービスを入力します。サービスを個別に入力すると、Planner では手順の順序を正しく決定することができません。手順を正しくない順序で実行すると、更新プロセスが失敗する可能性があります。順序を正しくするためには、コンソールを手順の完全リストに開いたままにするか、リストをテキスト ファイルに保存します。これにより、進捗を追跡することができます。
- 出力をコピーしたら
9
を入力して、メイン メニューに戻ります。
これらの手順を完了したら、あらかじめ証明書要求を生成する必要がある場合を除き、「
SSL 証明書と信頼の更新」セクションに進みます。
証明書要求の生成
SSL Certificate Automation Tool は、証明書要求を作成する機能を提供します。この機能により、vCenter Server サービスと使用するサポート対象証明書の生成時の共通の構成問題を回避することができます。
新しい証明書要求機能の使用と、vCenter Server サービスのサポート対象証明書の生成の方法については、「
Generating certificates for use with the VMware SSL Certificate Automation Tool (2044696)」を参照してください。
注: SSL Certificate Automation Tool は、証明書要求を作成する機能を提供しますが、最終的な証明書は作成しません。次の手順に進む前に、最終的な署名付き証明書を作成するには、認証局 (CA) に証明書要求を提出する必要があります。
SSL 証明書と信頼の更新
Update Steps Planner では、正常に完了するために従う必要がある正確な手順(選択したサービスのための)が示されます。プロセスをできるだけ簡単にするため、サービスがメイン メニューに個別にリストされ、それとともに特定のサービスごとの信頼および証明書の更新オプションが表示されます。
たとえば、Inventory Service 構成を更新するには、メニューから
Inventory Service を選択します。このメニューの
Update the Inventory Service Trust to Single Sign-On および
Update the Inventory Service SSL Certificate オプションでプロンプトが表示されます。
ワークフローは簡単で、これらのコマンドを 1 つずつ順番に実行する必要があります。
注:ツールの実行中、Ctrl+C オプションによる現在のコマンドのキャンセルは機能しません。
オプションを選択した後、プロンプトが表示されたら、新しい SSL チェーンやプライベート キーの場所およびパスワードなどの情報を入力します。完了したら、操作が進み、成功メッセージが表示されるか、問題を説明するエラーが報告されます。不具合のトラブルシューティングについては、この記事の「トラブルシューティング」セクションを参照してください。
手順が成功したら、Update Steps Planner に従って次の手順に進みます。プロセスを続行するには、異なるマシンに移動する必要がある場合があります。この場合、適用可能なマシンにツールを展開し、起動します。
注:時間を短縮し、入力の再入力を避けるために、各マシンでツールを実行したままにしておきます。これは、Update Steps Planner で後の手順のためにそのマシンに戻るように要求される場合があるためです。
Update Steps Planner で示されたすべての手順が完了すると、証明書は正常に更新されています。「
Exiting the SSL Certificate Automation Tool」セクションに進みます。
SSL Certificate Automation Tool の終了
更新計画が完了したら、該当するメニュー オプションを選択して、ツールを終了することができます。コマンド プロンプト ウィンドウを閉じても現在のセッションが中止され、完了していない、または処理中のアクションはすべて失われます。
注:ツールの実行中、Ctrl+C オプションによる現在のコマンドのキャンセルは機能しません。ウィンドウを閉じてツールを再度開始するか、無効なデータを入力して不具合を強制する必要があります。
トラブルシューティング
特定の更新コマンドが失敗した場合、トラブルシューティングに使用できるオプションがいくつか用意されています。
ロールバックSSL Certificate Automation Tool にはロールバック機能が組み込まれています。更新操作中に、行われた各アクションによってサービス構成の元の状態がバックアップされます。何らかの理由で更新が成功しなかった場合、失敗した手順をロールバックする必要があることがあります。
サービスごとに、構成をロールバックするオプションがあります。このコマンドを実行して、更新プロセスの開始前の構成の状態を復元します。SSL Certificate Automation Tool はバックアップ フォルダに既存の証明書構成のコピーを自動的に保存し、以前使用した証明書にロールバックしてシステム全体を稼働状態に保つことができるようにします。
注: vCenter Server 証明書をロールバックしたら、VMware Update Manager への vCenter Server の信頼を更新する必要があります。
SSL Certificate Automation Tool ログ障害の原因を特定するために、各コマンドの更新と操作がログに記録されます。デフォルトの場合、ログは、SSL Certificate Automation Tool が解凍されたディレクトリの
/log
ディレクトリにあります。ログ フォルダは、会社の方針または環境の要件に応じてツールの開始前に変更できます。デフォルトのログ ディレクトリを
LOGS_FOLDER
変数を使用して
ssl-environment.bat
ファイルに設定します。
ログを確認するには:
SSL_Certificate_Automation_Tool_Directory/logs
ディレクトリを開きます。- 確認するアクションのログを探します。たとえば
sso-update-ssl.log
ファイルです。同じアクションに対して複数のログがある場合、ログ ファイルの日時を使用して使用する正しいログ ファイルを決定します。 - ログ ファイルをテキスト エディタで開き、実行時のエラーを検索します。
ログ ファイルを検索して問題を特定したら、問題を修正し、問題が発生した手順をもう一度実行します。
詳細については、「
既知の問題」セクションを参照してください。
既知の問題
このセクションでは、SSL Certificate Automation Tool 使用時の既知の問題を挙げていきます。この既知の問題のリストを確認して、お使いの環境が影響を受ける可能性があるかどうかを判断してください。
- サービスによってすでに使用されている証明書を使用してサービスの証明書を置き換えてもエラーが発生しない。
Certificate Automation Tool を使用して証明書を置き換えている場合、およびプロンプトに応じて既存の証明書をサービスがすでに使用している証明書に置き換えている場合、ツールでエラー メッセージは表示されません。ツールは置き換えに進みます。Windows の vCenter Server インストールでは各サービスで一意の証明書が必要であるため、認証が適切に機能しません。
今のところ、回避策はありません。
- vCenter Single Sign-On パスワードにスペースや &、^、%、< などの特殊文字があると、SSL Certificate Update が失敗する。<BR>
vCenter Single Sign-On パスワードにスペースまたは &、^、%、または < などの特殊文字があると、Inventory Service の構成に失敗します。<BR>
この問題を回避するには、vCenter Single Sign-On パスワードを変更し、スペースや &、^。%、< などの特殊文字が含まれないようにします。<BR> - vCenter Single Sign-On の証明書チェーン ファイルが破損している場合、次のようなエラーが表示される。
証明書チェーンは不完全です。ルート認証局証明書が存在せず、自動的に検出できませんでした。他のサービスがこのサービスへの信頼を確立できるようにするには、ルート証明書の存在が必要です。認証局証明書を手動で追加してみてください。
この問題を解決するには、vCenter Single Sign-On の証明書チェーン ファイルが正しい順序で作成されていることを確認します。詳細については、「Generating certificates for use with the VMware SSL Certificate Automation Tool (2044696)」を参照してください。
- vCenter Server to vCenter Single Sign-On Trust 操作が失敗し、ツールが突然終了する。
証明書に使用するパスにスペースがあると、vCenter Server to Single Sign-On Trust の更新操作が失敗し、ツールが突然終了します。
この問題を回避するには、SSL 証明書のパスにあるスペースを削除します。
- SSL Certificate Automation Tool フォルダの名前にスペースがあると、CSR の生成に失敗する。
SSL Certificate Automation Tool を解凍したディレクトリの名前、および上記で指定した CSR ディレクトリにスペースが含まれていないことを確認します。そうしないと、CSR の生成に失敗します。
- 証明書チェーンのパスが正しくないと、次のようなエラーが表示される。
スレッド「メイン」で例外が発生しました。java.io.FileNotFoundException: C:\certs\wrongfile\rui.crt (指定したファイルがシステムで見つかりません)
at java.io.FileInputStream.open (ネイティブの方法)
at java.io.FileInputStream.<init> (不明なソース)
これは想定された動作です。
この問題を解決するには、チェーン ファイルのパスを修正してもう一度手順を実行します。
- VMware Inventory Service をリンク モードの構成で接続する場合、次のようなエラーが表示される。
クライアントが認証されません
リンク モード構成の実行中にすべての証明書を更新する場合、証明書の更新後 10 分間は Inventory Service にログインできません。この後、認証が成功し、機能が復元されます。
- コンポーネントでカスタム ポートが使用されている場合、SSL Certificate Automation Tool が失敗することがある。
vCenter Server サービスのインストールでカスタム ポートが使用されている場合、SSL Certificate Automation Tool を使用して証明書を構成すると失敗することがあります。これは既知の問題です。
この問題を回避するには、デフォルトのポートを使用します。