SSL Certificate Automation Tool 5.5 の展開と使用
Article ID: 324159
Updated On:
Products
VMware Aria Suite
VMware vCenter Server
VMware vSphere ESXi
Issue/Introduction
SSL Certificate Automation Tool 5.5 について
SSL Certificate Automation Tool はコマンドライン ユーティリティで、vSphere 5.5 での自己署名証明書または CA 署名付き証明書の更新プロセスを自動化します。このツールの主な用途は次のとおりです。- 証明書署名要求の生成、および証明書の更新 - 証明書の展開および信頼の更新に役立ちます。このツールではカスタム証明書が生成されないことに注意してください。これらの証明書は、このドキュメントの説明に従ってオフラインで生成することになります。
- Update Steps Planner - コンポーネントの証明書更新のシーケンスを計画できます。これにより、その他の場合に発生することがあるプロセスのエラーが回避されます。
vCenter サービスでサポートされる証明書要求および証明書の生成に関する詳細については、「Generating certificates for use with the VMware SSL Certificate Automation Tool (2044696)」を参照してください。
サポート対象のプラットフォーム
SSL Certificate Automation Tool は、Windows オペレーティング システムを実行するマシンにのみ使用可能です。ツールは次の Windows バージョンでテストおよび確認されています:- Windows 2008 R2 SP1
- Windows 2012 Standard および Datacenter
互換性
SSL Certificate Automation Tool 5.5 は、vSphere 5.5 環境でのみ動作します。vSphere 5.1 環境で証明書を置き換える必要がある場合は、「Deploying and using the SSL Certificate Automation Tool (2041600)」を参照してください。
- SSL Certificate Automation Tool 1.0 は vSphere 5.1 でサポートされています
- SSL Certificate Automation Tool 1.0.1 は、vSphere 5.5 を除く、vSphere 5.1 Update 1 以降でサポートされています
- SSL Certificate Automation Tool 5.5 は vSphere 5.5 でサポートされています
前提条件
SSL Automation Tool を実行するには、以下の要件を満たす必要があります。
- ツールを実行しているサーバでの管理者権限。管理者以外のユーザーでもツールをダウンロードして開始することはできますが、適切な権限がないとすべての操作が失敗します。
- SSL 証明書を更新すべき vSphere コンポーネントがある各サーバへのアクセス。
- 証明書を更新するすべての vCenter Server コンポーネントがインストール済みで実行中である。
- 新しい証明書とプライベート キーがすでに存在しており、その新しい証明書の場所がわかっている。セキュリティを強化するために、各証明書とプライベート キーをそれらが使用されるマシンで生成します。
証明書の要件
ツールを実行する前に CA 署名付き証明書を取得することも、ツールで証明書要求を生成することもできます。ツールを実行して証明書を置き換える前に、各 vSphere コンポーネントの新しい SSL 証明書に証明書内でエンコードされた一意のサブジェクト識別名が含まれていることを確認します。注:一意の組織単位 (OU) は必須ではありません。OU は DN の一部にすぎません。一意の OU を含むことは一意の DN を実現するための 1 つの方法ですが、決して唯一の方法ではありません。
証明書とプライベート キーは、次の要件を満たしている必要があります:
- プライベート キー アルゴリズム: RSA
- プライベート キー長: >= 2048
- プライベート キー標準: PKCS#1 または PKCS#8
- プライベート キー ストレージ: PEM
- sha256WithRSAEncryption 1.2.840.113549.1.1.11
- sha384WithRSAEncryption 1.2.840.113549.1.1.12
- sha512WithRSAEncryption 1.2.840.113549.1.1.13
- リーフ証明書から自己署名認証局証明書まで順序付けられた一連の PEM (base64) エンコード化された X.509 証明書を含む単一の PEM ファイル。
- ファイルに証明書の前、間、後にコメント、スペース、タブが含まれていない。
- 各証明書が前後にスペースがない新しい行でそれぞれ
-----BEGIN CERTIFICATE------で始まり、-----END CERTIFICATE------で終わっている。 - 他の証明書がファイルにない。
- 証明書チェーンが完了している。つまり、ファイルにチェーンを形成するすべての証明書が含まれている、または証明書チェーンが不完全だが Windows トラスト ストアからの証明書を使用して完了が可能である、のいずれかです。
- ^(カレット)
- %(パーセント)
- &(アンパサンド)
- ;(セミコロン)
- )(右丸括弧)
注:これらの特殊文字があると、ツールが終了するか、エラーが報告されます。
Symptoms:
免責事項: これは英文の記事 「Deploying and using the SSL Certificate Automation Tool 5.5 (2057340)」の日本語訳です。記事はベストエフォートで翻訳を進めているため、ローカライズ化コンテンツは最新情報ではない可能性があります。最新情報は英語版の記事で参照してください。
Environment
VMware vCenter Orchestrator 5.5.x
VMware vSphere Update Manager 5.5.x
VMware vSphere ESXi 5.5
VMware vSphere Update Manager 5.5.x
VMware vSphere ESXi 5.5
Resolution
開始する前に
続行する前に、次の点を認識していることを確認してください。- vCenter Server サービスを仮想マシンで実行している場合、不具合が発生した場合のリカバリ時間を早めるために、プロセスを開始する前に仮想マシンのスナップショットを作成します。処理が正常に完了したら、必ずスナップショットも削除します。
- 証明書をロード バランサーなどのサードパーティ製コンポーネントに対し、および非 Window OS マシンで更新する場合は、手動で行う必要があります。
- ^ (キャレット)文字を含む入力は許可されません。
- ツールのパスやファイル名または新しい証明書に、^ (キャレット)、% (パーセント)、& (アンパサンド)、; (セミコロン)、または ) (閉じ括弧)などの特殊文字が含まれると、ツールは失敗し、終了するか、例外をスローするか、または証明書かキー ファイルが見つからないと報告します。
- これらのサービスの不具合を回避するために、環境で実行中の依存ソリューションをシャットダウンする必要があります。証明書の更新時にシャットダウンが必要な解決方法は次のとおりです。
- VMware Site Recovery Manager
- vSphere Data Recovery
- vCloud Director
- vCenter Server に接続している可能性のあるサードパーティのソリューション
- この記事の「既知の問題」のセクションを確認したこと。
- vSphere 5.5 環境があること。
- 証明書をインストールするすべてのコンポーネントのために vSphere 5.5 環境が事前にインストールされていること。
- お使いの認証局サーバの
Web Serverテンプレートでキー用途の拡張を参照して、digitalSignature、keyEncipherment、およびdataEnciphermentの各証明書生成オプションが有効になっていることを確認すること。 - ワイルド カード証明書を使用していないこと。vSphere 5.x で、各証明書は一意である必要があり、その結果ワイルドカード証明書はサポートされません。
SSL Certificate Automation Tool のインストールまたはアップグレード
vSphere コンポーネントが存在する各マシンに SSL Certificate Automation Tool をインストールし、デプロイする必要があります。ただし、単一のマシンでツールを使用して初期計画を行うことができます。SSL Certificate Automation Tool をインストールするために次の 3 つの構成が可能です。
- 単一マシン(1 つのマシンにすべてのサービス)
すべてのサービスが同じマシン上にあります。この場合、SSL Certificate Automation Tool を 1 つのマシンに展開する必要があります。
- 複数のマシン(サービス別マシン)
各サービスが異なるマシン上にあります。この場合、SSL Certificate Automation Tool を 7 つのサービスのいずれかを実行している各マシンに展開する必要があります。
- 複合モード(マシンごとに複数のサービス)
一部のサービスが 1 台のマシンで実行されますが、その他のサービスは別のマシンで実行されます。この場合、SSL Certificate Automation Tool を、更新対象のサービスがあるすべてのマシンと、更新対象のサービスと通信している展開済みのサービスがあるマシンに展開する必要があります。Update Steps Planner を使用して、デプロイの手順の正確な順序を決定します。
SSL Certificate Automation Tool のインストール
SSL Certificate Automation Tool をインストールするには、次の手順を実行します。
注: SSL Certificate Automation Tool のインストール パスにスペースが含まれることがないようにしてください。
- SSL Certificate Automation Tool を VMware Download Center からダウンロードします。このダウンロードは、vSphere および vCloud Suite のダウンロード ページの「Drivers and Tools」セクションにあります。
- vSphere コンポーネントが存在する各マシンにツールをコピーします。
- Zip 解凍ユーティリティを使用して、ディレクトリ構造を維持したまま Zip ファイルを任意のディレクトリに解凍します。
SSL Certificate Automation Tool のアップグレード
SSL Certificate Automation Tool の新しいバージョンにアップグレードすることは、インストールの必要がないため簡単です。SSL Certificate Automation Tool を旧バージョンからアップグレードするには、次の手順を実行します。
注:SSL Certificate Automation Tool のインストール パスにはスペースが含まれないようにしてください。
- SSL Certificate Automation Tool を VMware Download Center からダウンロードします。このダウンロードは、vSphere および vCloud Suite のダウンロード ページの「Drivers and Tools」セクションにあります。
- vSphere コンポーネントが存在する各マシンにツールをコピーします。
- Zip 解凍ユーティリティを使用して、ツールが以前使用していたのとは別のディレクトリにディレクトリ構造を維持したままファイルを解凍します。
SSL Certificate Automation Tool の使用
ツールをインストールしたら、それを使用して証明書を更新できます。ただし、開始する前にデフォルト値を事前定義して、プロセスを一部自動化することができます。これは必須ではありませんが、これにより後続の構成手順のエラーを回避することができます。デフォルト値を事前定義しない場合は、「Update Steps Planner の実行」のセクションに進みます。デフォルト値の事前定義
ツールでデフォルト値を事前定義すると、入力ミスを防ぎ、時間を節約することができます。これによりツールは、ユーザーに入力を求める代わりに、デフォルトとして定義された特定の情報を自動的に含めます。セキュリティ上の理由により、デフォルト値の定義時はパスワードのみ保存できません。
デフォルト値を事前定義するには:
ssl-environment.batファイルをメモ帳などのテキスト エディタで開きます。デフォルトの場合、このファイルはツール ディレクトリのルートにあります。- 更新する関連コンポーネントについてそれぞれ、必須パラメータと、変更するオプションのパラメータを入力します。たとえば、vCenter Server の場合は
vc_cert_chain、vc_private_key、およびvc_usernameパラメータを編集できます。
ssl-environment.batファイル内の情報を含める場合は、SSL Certificate Automation Tool がこの情報を保存し、証明書の更新、信頼の更新、およびロールバック操作中に必要な入力の自動入力にその情報を使用します。
- すべての情報を入力したら、
ssl-environment.batファイルをツールのディレクトリに保存して閉じます。
注:ツールの起動時にssl-environment.batファイルが作成する値は読み取り専用です。SSL Certificate Automation Tool の実行中にssl-environment.batファイルを実行する場合、値は読み取られません。
Update Steps Planner の実行
Update Steps Planner を使用することもできます。これにより、SSL 構成を適切に更新する必要のある順序を決定することができます。VMware では、構成が正しく更新されるように、Update Steps Planner で表示される手順にそのまま従うことをお勧めします。Update Steps Planner を実行するには:
- SSL Certificate Automation Tool がインストールされているマシンにログインします。
- コマンド ラインで、ツールを解凍する場所に移動します。
- 次のコマンドを実行します。
ssl-updater.bat
- メイン メニューで、Plan your steps to update SSL certificates を選択し、SSL 証明書の更新に必要な手順を決定します。
- 更新するサービスを示す番号を入力します。
複数の SSL 証明書を更新するには、番号をカンマで区切ります。たとえば、SSL 証明書を Single Sign-On、vCenter Server および vSphere Web Client で更新するには、次を入力します。:
1,3,4
ツールでサポートされているすべてのサービスで証明書を更新するには、8と入力します。メニュー選択にはサポート対象のすべてのサービスが表示されます。
注: vSphere Web Client とログ ブラウザは同じマシンに存在します。
- Update Steps Planner には、実行が必要な事項とそれを実行する順序が表示されます。タスクを Planner で示される順序で実行します。
注: Update Steps Planner の使用時に、更新するすべてのサービスを入力します。サービスを個別に入力すると、Planner では手順の順序を正しく決定することができません。手順を正しくない順序で実行すると、更新プロセスが失敗する可能性があります。順序を正しくするためには、コンソールを手順の完全リストに開いたままにするか、リストをテキスト ファイルに保存します。これにより、進捗を追跡することができます。
- 出力をコピーしたら
9を入力して、メイン メニューに戻ります。
証明書要求の生成
SSL Certificate Automation Tool は、証明書要求を作成する機能を提供します。この機能により、vCenter Server サービスと使用するサポート対象証明書の生成時の共通の構成問題を回避することができます。新しい証明書要求機能の使用と、vCenter Server サービスのサポート対象証明書の生成の方法については、「Generating certificates for use with the VMware SSL Certificate Automation Tool (2044696)」を参照してください。
注: SSL Certificate Automation Tool は、証明書要求を作成する機能を提供しますが、最終的な証明書は作成しません。次の手順に進む前に、最終的な署名付き証明書を作成するには、認証局 (CA) に証明書要求を提出する必要があります。
SSL 証明書と信頼の更新
Update Steps Planner では、正常に完了するために従う必要がある正確な手順(選択したサービスのための)が示されます。プロセスをできるだけ簡単にするため、サービスがメイン メニューに個別にリストされ、それとともに特定のサービスごとの信頼および証明書の更新オプションが表示されます。たとえば、Inventory Service 構成を更新するには、メニューから Inventory Service を選択します。このメニューの Update the Inventory Service Trust to Single Sign-On および Update the Inventory Service SSL Certificate オプションでプロンプトが表示されます。
ワークフローは簡単で、これらのコマンドを 1 つずつ順番に実行する必要があります。
注:ツールの実行中、Ctrl+C オプションによる現在のコマンドのキャンセルは機能しません。
オプションを選択した後、プロンプトが表示されたら、新しい SSL チェーンやプライベート キーの場所およびパスワードなどの情報を入力します。完了したら、操作が進み、成功メッセージが表示されるか、問題を説明するエラーが報告されます。不具合のトラブルシューティングについては、この記事の「トラブルシューティング」セクションを参照してください。
手順が成功したら、Update Steps Planner に従って次の手順に進みます。プロセスを続行するには、異なるマシンに移動する必要がある場合があります。この場合、適用可能なマシンにツールを展開し、起動します。
注:時間を短縮し、入力の再入力を避けるために、各マシンでツールを実行したままにしておきます。これは、Update Steps Planner で後の手順のためにそのマシンに戻るように要求される場合があるためです。
Update Steps Planner で示されたすべての手順が完了すると、証明書は正常に更新されています。「Exiting the SSL Certificate Automation Tool」セクションに進みます。
SSL Certificate Automation Tool の終了
更新計画が完了したら、該当するメニュー オプションを選択して、ツールを終了することができます。コマンド プロンプト ウィンドウを閉じても現在のセッションが中止され、完了していない、または処理中のアクションはすべて失われます。注:ツールの実行中、Ctrl+C オプションによる現在のコマンドのキャンセルは機能しません。ウィンドウを閉じてツールを再度開始するか、無効なデータを入力して不具合を強制する必要があります。
トラブルシューティング
特定の更新コマンドが失敗した場合、トラブルシューティングに使用できるオプションがいくつか用意されています。ロールバック
SSL Certificate Automation Tool にはロールバック機能が組み込まれています。更新操作中に、行われた各アクションによってサービス構成の元の状態がバックアップされます。何らかの理由で更新が成功しなかった場合、失敗した手順をロールバックする必要があることがあります。
サービスごとに、構成をロールバックするオプションがあります。このコマンドを実行して、更新プロセスの開始前の構成の状態を復元します。SSL Certificate Automation Tool はバックアップ フォルダに既存の証明書構成のコピーを自動的に保存し、以前使用した証明書にロールバックしてシステム全体を稼働状態に保つことができるようにします。
注: vCenter Server 証明書をロールバックしたら、VMware Update Manager への vCenter Server の信頼を更新する必要があります。
SSL Certificate Automation Tool ログ
障害の原因を特定するために、各コマンドの更新と操作がログに記録されます。デフォルトの場合、ログは、SSL Certificate Automation Tool が解凍されたディレクトリの
/log ディレクトリにあります。ログ フォルダは、会社の方針または環境の要件に応じてツールの開始前に変更できます。デフォルトのログ ディレクトリを LOGS_FOLDER 変数を使用して ssl-environment.bat ファイルに設定します。ログを確認するには:
SSL_Certificate_Automation_Tool_Directory/logsディレクトリを開きます。- 確認するアクションのログを探します。たとえば
sso-update-ssl.logファイルです。同じアクションに対して複数のログがある場合、ログ ファイルの日時を使用して使用する正しいログ ファイルを決定します。 - ログ ファイルをテキスト エディタで開き、実行時のエラーを検索します。
詳細については、「既知の問題」セクションを参照してください。
既知の問題
このセクションでは、SSL Certificate Automation Tool 使用時の既知の問題を挙げていきます。この既知の問題のリストを確認して、お使いの環境が影響を受ける可能性があるかどうかを判断してください。- サービスによってすでに使用されている証明書を使用してサービスの証明書を置き換えてもエラーが発生しない。
Certificate Automation Tool を使用して証明書を置き換えている場合、およびプロンプトに応じて既存の証明書をサービスがすでに使用している証明書に置き換えている場合、ツールでエラー メッセージは表示されません。ツールは置き換えに進みます。Windows の vCenter Server インストールでは各サービスで一意の証明書が必要であるため、認証が適切に機能しません。
今のところ、回避策はありません。
- vCenter Single Sign-On パスワードにスペースや &、^、%、< などの特殊文字があると、SSL Certificate Update が失敗する。<BR>
vCenter Single Sign-On パスワードにスペースまたは &、^、%、または < などの特殊文字があると、Inventory Service の構成に失敗します。<BR>
この問題を回避するには、vCenter Single Sign-On パスワードを変更し、スペースや &、^。%、< などの特殊文字が含まれないようにします。<BR> - vCenter Single Sign-On の証明書チェーン ファイルが破損している場合、次のようなエラーが表示される。
証明書チェーンは不完全です。ルート認証局証明書が存在せず、自動的に検出できませんでした。他のサービスがこのサービスへの信頼を確立できるようにするには、ルート証明書の存在が必要です。認証局証明書を手動で追加してみてください。
この問題を解決するには、vCenter Single Sign-On の証明書チェーン ファイルが正しい順序で作成されていることを確認します。詳細については、「Generating certificates for use with the VMware SSL Certificate Automation Tool (2044696)」を参照してください。
- vCenter Server to vCenter Single Sign-On Trust 操作が失敗し、ツールが突然終了する。
証明書に使用するパスにスペースがあると、vCenter Server to Single Sign-On Trust の更新操作が失敗し、ツールが突然終了します。
この問題を回避するには、SSL 証明書のパスにあるスペースを削除します。
- SSL Certificate Automation Tool フォルダの名前にスペースがあると、CSR の生成に失敗する。
SSL Certificate Automation Tool を解凍したディレクトリの名前、および上記で指定した CSR ディレクトリにスペースが含まれていないことを確認します。そうしないと、CSR の生成に失敗します。
- 証明書チェーンのパスが正しくないと、次のようなエラーが表示される。
スレッド「メイン」で例外が発生しました。java.io.FileNotFoundException: C:\certs\wrongfile\rui.crt (指定したファイルがシステムで見つかりません)
at java.io.FileInputStream.open (ネイティブの方法)
at java.io.FileInputStream.<init> (不明なソース)
これは想定された動作です。
この問題を解決するには、チェーン ファイルのパスを修正してもう一度手順を実行します。
- VMware Inventory Service をリンク モードの構成で接続する場合、次のようなエラーが表示される。
クライアントが認証されません
リンク モード構成の実行中にすべての証明書を更新する場合、証明書の更新後 10 分間は Inventory Service にログインできません。この後、認証が成功し、機能が復元されます。
- コンポーネントでカスタム ポートが使用されている場合、SSL Certificate Automation Tool が失敗することがある。
vCenter Server サービスのインストールでカスタム ポートが使用されている場合、SSL Certificate Automation Tool を使用して証明書を構成すると失敗することがあります。これは既知の問題です。
この問題を回避するには、デフォルトのポートを使用します。
Feedback
Yes
No
Powered by
