コマンド ラインを使用して、期限切れの vCenter Server 証明書を確認および解決する
search cancel

コマンド ラインを使用して、期限切れの vCenter Server 証明書を確認および解決する

book

Article ID: 325739

calendar_today

Updated On:

Products

VMware vCenter Server

Issue/Introduction

この記事では、コマンド ライン インターフェイスを使用して、vCenter Server で証明書の有効期限を確認し、期限切れの証明書を解決する手順について説明します。

Symptoms:
  • vCenter Server インターフェースに、証明書の有効期限がまもなく切れるという警告が表示される。
  • 次のエラーが表示される。
        503 service not available...endpoint

Environment

VMware vCenter Server 7.0.0
VMware vCenter Server 8.0.0

Cause

この問題は、1 つ以上の必要な証明書の有効期限が切れているか、まもなく期限切れになる場合に発生します。

Resolution

証明書の有効期限の確認

  1. Single Sign-on Token Signing (STS) 証明書を確認します。「Checking Expiration of STS Certificate on vCenter Server」を参照してください。
  2. 次のコマンドを実行して、環境の証明書のステータスを確認します。
  • vCenter Server Appliance で次のコマンドを実行します。

for store in $(/usr/lib/vmware-vmafd/bin/vecs-cli store list | grep -v TRUSTED_ROOT_CRLS); do echo "[*] Store :" $store; /usr/lib/vmware-vmafd/bin/vecs-cli entry list --store $store --text | grep -ie "Alias" -ie "Not After";done;

  • Windows vCenter Server で次のコマンドを実行します。

$VCInstallHome = [System.Environment]::ExpandEnvironmentVariables("%VMWARE_CIS_HOME%");foreach ($STORE in &"$VCInstallHome\vmafdd\vecs-cli" store list){Write-host STORE: $STORE;&"$VCInstallHome\vmafdd\vecs-cli" entry list --store $STORE --text | findstr /C:"Alias" /C:"Not After"}
 

出力は、次のようになります。

期限切れの証明書を検索する証明書のリスト
  1. 日付が将来の日付であることを確認します。

期限切れの証明書の解決

注意: 
  • 次に進む前に、仮想マシンのスナップショットをバックアップまたは作成します。
  • 組み込み PSC を備えたすべてのリンクされた外部 Platform Services Controller/vCenter Server を同時にパワーオフし、リンクされた各ノード仮想マシンのスナップショットを作成することをお勧めします。


カスタム証明書

信頼されたルート証明書または SSL 証明書の有効期限が切れている場合は、デフォルトの VMware Certificate Authority 証明書を使用してシステムを再び動作状態に戻し、カスタム証明書を再適用することをお勧めします。「Replacing a vSphere 6.x /7.x Machine SSL certificate with a Custom Certificate Authority Signed Certificate」を参照してください。


STS 証明書

組み込みの PSC、または外部 PSC のみを使用する vCenter Server の場合、リンクされたノードのシステムごとに 1 つのノードでのみ次の手順を実行します:「"Signing certificate is not valid" error in VCSA 6.5.x/6.7.x and vCenter Server 7.0.x」に従って STS 証明書を置き換えます。


信頼できるルート証明書

  • 組み込みの PSC、または外部 PSC のみを使用する vCenter Server の場合、リンクされたノードのシステムで次の操作を 1 回実行します:「How to use vSphere Certificate Manager to Replace SSL Certificates」に従って certificate-manager を実行し、オプション 4 を使用して新しいルート証明書を生成し、すべての証明書を置き換えます。
  • リンクされたシステムに残っているすべての vCenter Server および PSC で、次の手順を実行します。
  1. certificate-manager オプション 3 を実行して、マシン SSL 証明書を置き換えます。
  2. certificate-manager オプション 6 を実行して、ソリューション ユーザー証明書を置き換えます。


マシン SSL 証明書

この期限切れの証明書が見つかった各ノード(vCenter Server、組み込みの PSC または外部 PSC を使用する vCenter Server)で、certificate-manager オプション 3 を実行して SSL 証明書を置き換えます。


ソリューション ユーザー証明書

これらの 1 つ以上の有効期限が切れている場合は、期限切れの証明書が見つかった各ノード(vCenter Server、組み込みの PSC または外部 PSC を使用する vCenter Server)で、certificate-manager オプション 6 を実行してソリューション ユーザー証明書を置き換えます。

:Certificate Manager のオプション 3 または 6 が vCenter Server で失敗した場合は、オプション 8 を使用してすべての証明書をリセットしてみてください。 


Additional Information

Manually reviewing certificates in VMware Endpoint Certificate Store for vSphere 6.x
"ERROR certificate-manager 'lstool get' failed: 1" during Certificate Replacement on vCenter Server 6.x
"ERROR certificate-manager 'lstool get-site-id' failed: 1", Certificate Replacement with Custom Certificate Fails on vCenter Server 6.x
Using the 'lsdoctor' Tool

VMware のドキュメント:vSphere Security Certificates

Use Custom Certificates with vSphere
"503 Service Unavailable" error on the vSphere Web Client when logging in or accessing the vCenter Server

Impact/Risks:
  • 置き換えられる証明書に問題がある場合、vCenter Server が動作を停止することがあります。
  • VMDIR LDAP ディレクトリも適切に更新されない可能性があるため、修正が必要な場合があります。「Using the 'lsdoctor' Tool」を参照してください。
  • 使用されていない信頼されたルートに期限切れの証明書がある場合、証明書ステータス アラームがトリガされます。
  • 期限切れの証明書が BACKUP_STORES にある場合、証明書ステータス アラームがトリガされます。
  • STS、マシン SSL、またはソリューション ユーザーなどの有効期限が切れた証明書がある場合、サービスの依存関係のため、vCenter Server はサービスを開始できません。


Powered by Wolken Software