証明書の更新が必要かどうかの確認
まず、証明書の更新が必要かどうかを検証します。証明書がまだ期限切れになっていない場合は、web ブラウザから証明書を確認できます。これらの一般的な web ブラウザについては、後述する方法をご覧ください。
証明書の有効期限が切れている場合、または UI にアクセスできない場合は、プライマリ ノードのコマンド ラインから証明書を確認する必要があります。
注 : vRealize Operations 8.0 では、証明書の有効期限が切れる前に、UI に警告のポップアップが表示されます。
Mozilla Firefox
https://Primary_Node_IP_or_FQDN :6061 を開きます。
注 :
Primary_Node_IP_or_FQDN を vRealize Operations プライマリ ノードの実際の IP アドレスまたは FQDN に置き換えます。警告: 「潜在的なリスクあり」または「安全な接続ができませんでした」というメッセージが表示されます。これは想定された動作です。 証明書を表示するには Gemfire サービスが稼働している必要があります。 Webページが読み込まれることは想定されていません。これは正常な動作です。手順を続行します。
[詳細] をクリックしてから、[証明書を表示] をクリックします。[有効期限] で証明書の終了日を確認します。
Google Chrome
https://Primary_Node_IP_or_FQDN :6061 を開きます。
注 :
Primary_Node_IP_or_FQDN を vRealize Operations プライマリ ノードの実際の IP アドレスまたは FQDN に置き換えます。警告: 「この接続ではプライバシーが保護されません」または「このサイトは安全ではありません」というメッセージが表示されます。これは想定された動作です。 証明書を表示するには Gemfire サービスが稼働している必要があります。 Webページが読み込まれることは想定されていません。これは正常な動作です。手順を続行します。
アドレス バーの [保護されていない] をクリックしてから、[証明書 (無効)] をクリックします。 [有効期間の開始日] で証明書の終了日を確認します。
Microsoft Edge
https://Primary_Node_IP_or_FQDN :6061 を開きます。
注 :
Primary_Node_IP_or_FQDN を vRealize Operations プライマリ ノードの実際の IP アドレスまたは FQDN に置き換えます。警告: 「このサイトは安全ではありません」というメッセージが表示されます。これは想定された動作です。 証明書を表示するには Gemfire サービスが稼働している必要があります。 Webページが読み込まれることは想定されていません。これは正常な動作です。手順を続行します。
アドレス バーの [証明書エラー] をクリックしてから、[証明書を表示] をクリックします。 [有効期間の終了日] で証明書の終了日を確認します。
コマンド ライン
証明書の有効期限が切れている場合、または UI にアクセスできない場合は、プライマリ ノードのコマンドラインから証明書を確認する必要があります。
SSH またはコンソール セッションで root としてプライマリ ノードにログインします。 次のコマンドを実行します。
/bin/grep -E --color=always -B1 'java.security.cert.CertPathValidatorException: validity check failed|java.security.cert.CertificateExpiredException' $ALIVE_BASE/user/log/*.log | /usr/bin/tail -20 注: 手順 2 が何も返さなかった場合、証明書の更新は必要ありません。 手順 2 で、validity check failed を含む出力が返された場合は、ただちに証明書を更新する必要があります。
証明書の更新
証明書を更新するには、適切な pak ファイルをインストールして、新しい内部証明書を生成します。
証明書がすでに期限切れになっているかどうかに応じて、次の手順を実行して、PAK ファイルをインストールします。
VIDEO 内部証明書の有効期限が切れていない 内部証明書の有効期限が切れている
vRealize Operations の内部証明書の有効期限が切れていない場合は、vRealize Operations クラスタが
オフライン の状態にあるときに、
PAK ファイルをインストールします。
注 :特に別途の記載がない限り、次のすべての手順が vRealize Operations クラスタのすべてのノードで完了していることを確認します。
「vRealize Operations Manager のスナップショットを作成する方法 」に従って vRealize Operations ノードのスナップショットを作成します。 お使いの vRealize Operations のバージョンに合う証明書更新 PAK ファイルをダウンロードします。VMware Patch Portal
ProductはvROps Certificate Renewalを選択 バージョンはvRealize Operations の製品バージョンを選択
注 :
バージョン6.3から8.1.1の場合は、バージョン8.0.0を選択します。このパックはvRealize Operationsのバージョン6.3 - 8.1.1と互換性があります。 vRealize Operations 8.4以降では、証明書更新 PAKはVMware Downloads の対応する製品バージョンのページからも利用可能です。
vRealize Operations クラスタのすべてのノードのSSHまたはコンソールにrootでログインします。 ローカルの管理者ユーザーとして vRealize Operations 管理 UI にログインします。 [クラスタのステータス] で、[オフラインにする] をクリックします。
注 :[クラスタのステータス] に [オフライン] と表示されるまで待機します。
左パネルの ソフトウェア アップデート をクリックします。 メイン パネルの ソフトウェア アップデートのインストール をクリックします。 ウィザードの手順に沿って、PAK ファイルを見つけてインストールします。 証明書の更新 PAK ファイルをインストールします。 ソフトウェア アップデートが完了するまで待ちます。完了すると、管理者インターフェイスからログアウトされます。
注 :クラスタのステータスでインストールが長時間完了しない場合、手順14のあとに記載されている4つのステップを実施して下さい。
ローカルの管理者ユーザーとして vRealize Operations 管理 UI にログインします。 ブラウザ キャッシュを消去し、ブラウザ ページが自動で更新されない場合は、ページの表示を更新してください。 [クラスタのステータス] で、[オンラインにする] をクリックします。
注 :クラスタのステータスが [オンライン化] に変わります。クラスタのステータスが [オンライン] に変わったらアップグレードの完了です。
vRealize Operationsクラスタの全てのノードで次のコマンドを実行してください。
chown admin:admin -R /storage/vcops/user/conf/ssl/ /storage/vcops/user/conf/ssl_bak/ /storage/db/casa/webapp/hsqldb/ chown -h root:root /storage/vcops/user/conf/ssl/web_cert.pem /storage/vcops/user/conf/ssl/web_chain.pem /storage/vcops/user/conf/ssl/web_key.pem chmod guo+r -R /storage/vcops/user/conf/ssl/ chmod 444 /storage/vcops/user/conf/ssl/cacert.pem /storage/vcops/user/conf/ssl/slice_*_cert.pem chmod 400 /storage/vcops/user/conf/ssl/cakey.pem /storage/vcops/user/conf/ssl/slice_*_cert.pfx /storage/vcops/user/conf/ssl/slice_*_key.pem chmod 640 /storage/vcops/user/conf/ssl/tcserver.keystore
注 : バージョン 8.4 以降の場合は、プライマリ ノード、プライマリ レプリカ ノード (存在する場合)、およびすべてのデータ ノードで次のコマンドを実行します。
chown postgres:root /storage/vcops/user/conf/ssl/postgres_vcopsrepl_* chmod 600 /storage/vcops/user/conf/ssl/postgres_vcops_key.pk8 /storage/vcops/user/conf/ssl/postgres_vcopsrepl_key.pem chmod 640 /storage/vcops/user/conf/ssl/postgres_vcops_cert.pem /storage/vcops/user/conf/ssl/postgres_vcopsrepl_cert.pem
管理 UI で PAK ファイルのインストールが長時間完了にならない場合、次の4つのステップを実施して下さい。
vRealize Operations クラスタのプライマリ ノードに SSH またはコンソール経由で root としてログインします。 PAK ファイルのインストールステータスの更新のために、以下のコマンドを実行します。
sed -i -e 's/\"initialization_state\"\:\"INITIALIZING\"/\"initialization_state\"\:\"NONE\"/g' /data/db/casa/webapp/hsqldb/casa.db.script
1-2 のステップをプライマリ レプリカ ノード(存在する場合)でも実行してください。以下のコマンドをプライマリ ノードとプライマリ レプリカ ノード(存在する場合)で実行して CaSA サービスを再起動してください。
service vmware-casa restart
内部証明書の有効期限が切れている
vRealize Operations の内部証明書の有効期限がすでに切れている場合は、
PAK ファイルを手動でインストールする必要があります。クラスタが
[オフライン] 状態にあるときに、vRealize Operations クラスタで次の手順を実行します。
注 :特に別途の記載がない限り、次のすべての手順が vRealize Operations クラスタのすべてのノードで完了していることを確認します。
「vRealize Operations Manager のスナップショットを作成する方法 」に従って vRealize Operations ノードのスナップショットを作成します。 お使いの vRealize Operations のバージョンに合う証明書更新 PAK ファイルをダウンロードします。VMware Patch Prtal
ProductはvROps Certificate Renewalを選択 バージョンはvRealize Operations の製品バージョンを選択
注 :
バージョン6.3から8.1.1の場合は、バージョン8.0.0を選択します。このパックはvRealize Operationsのバージョン6.3 - 8.1.1と互換性があります。 バージョン 8.4.x ~ 8.10.x の場合は、バージョン 8.4.0 を選択します。このパックは、vRealize Operations バージョン 6.4 ~ 8.10.x と互換性があります。
PAK ファイルを SCP ユーティリティを使用して vRealize Operations クラスタのすべてのノードの /tmp/ ディレクトリにコピーします。vRealize Operations クラスタのすべてのノードの SSH またはコンソールにrootとしてログインします。 vRealize Operations クラスタのすべてのノードで次のコマンドを実行して、必要なディレクトリを作成します。
mkdir -p /data/db/pakRepoLocal/vRealize_Operations_Manager_Enterprise_Certificate_Renewal/extracted
PAK ファイルを vRealize Operations クラスタのすべてのノード上で解凍します。
unzip /tmp/vRealize_Operations_Manager_Enterprise_Certificate_Renewal- build .pak -d /data/db/pakRepoLocal/vRealize_Operations_Manager_Enterprise_Certificate_Renewal/extracte d注 :build はダウンロードした PAK ファイルにあわせて適宜置き換えて下さい。例 :unzip /tmp/vRealize_Operations_Manager_Enterprise_Certificate_Renewal-8.0.0.15217416.pak -d /data/db/pakRepoLocal/vRealize_Operations_Manager_Enterprise_Certificate_Renewal/extracted
以下のコマンドを実行して全てのサービスを停止します。 service vmware-vcops-watchdog stop service vmware-vcops stop 注意: 8.3以降のバージョンでは、vrops-statusコマンドを使用してすべてのサービスが 停止していることを確認します。 仮にサービスが実行されている場合、個別にkillしてください。 例: (vpostgres) is running (3557) 次のコマンドを実行して停止します: kill -9 3557
is_admin プロパティが casa.db.srcipt のプライマリノードにのみ設定されているかどうかを確認します。
すべてのノード(リモートコレクターとWitnessを含む)で次のコマンドを実行して、is_adminプロパティのステータスを確認します。
sed -nre "/clusterMembership/ s/^[^']+'([^']+)','([^']+)'.*/\2/p" /storage/db/casa/webapp/hsqldb/casa.db.script | python -m json.tool
出力で「is_admin_node」:true」は、「slice_name」:「MASTER」の場合にのみ設定する必要があります。他のノードにtrueが設定されている場合は、すべてのノード(Remote CollectorとWitnessを含む)で以下を実行します。
service vmware-casa stop を実行します /storage/db/casa/webapp/hsqldb/casa.db.script を編集し、「 is_admin_node 」がプライマリノードで true に設定され、他のすべてのノードで false に設定されていることを確認します service vmware-casa start を実行します
下記のコマンドを順番通りに実行します。順番に気を付けて下さい。
Command :
$VMWARE_PYTHON_BIN /data/db/pakRepoLocal/vRealize_Operations_Manager_Enterprise_Certificate_Renewal/extracted/updateCoordinator.py EXPIRED
i. まず、クラスタのすべてのリモート コレクタ ノード(存在する場合)でコマンドを実行し、タスクの完了を待ちます。 ii. 次にすべてのデータノード、監視ノード(存在する場合)そしてプライマリ レプリカ ノード(存在する場合)でコマンドを実行します。各ノードでの完了は待たずに、全てのノードでコマンドを実行します。最後のノードで Waiting for certificate generation to complete が表示されたら 60 秒程度待ち、次のステップへ進みます。 iii. 最後にプライマリ ノードでコマンドを実行します。
コマンドが完了後すぐに、データノードとプライマリ レプリカ ノード(存在する場合)でペンディング状態だったタスクが完了するはずです。注 :プライマリ ノードに /var/vmware/_cert_generation_completed が作成されていれば、コマンドが問題なく完了しています。
vRealize Operations クラスタのすべてのノードで以下のコマンドを実行します。
chown admin:admin -R /storage/vcops/user/conf/ssl/ /storage/vcops/user/conf/ssl_bak/ /storage/db/casa/webapp/hsqldb/ chown -h root:root /storage/vcops/user/conf/ssl/web_cert.pem /storage/vcops/user/conf/ssl/web_chain.pem /storage/vcops/user/conf/ssl/web_key.pem chmod guo+r -R /storage/vcops/user/conf/ssl/ chmod 444 /storage/vcops/user/conf/ssl/cacert.pem /storage/vcops/user/conf/ssl/slice_*_cert.pem chmod 400 /storage/vcops/user/conf/ssl/cakey.pem /storage/vcops/user/conf/ssl/slice_*_cert.pfx /storage/vcops/user/conf/ssl/slice_*_key.pem chmod 640 /storage/vcops/user/conf/ssl/tcserver.keystore
注: 8.4以降のバージョンでは、プライマリーノード、プライマリーレプリカノード(存在する場合)、
すべてのデータノードで以下のコマンドを実行してください。
chown postgres:root /storage/vcops/user/conf/ssl/postgres_vcopsrepl_* chmod 600 /storage/vcops/user/conf/ssl/postgres_vcops_key.pk8 /storage/vcops/user/conf/ssl/postgres_vcopsrepl_key.pem chmod 640 /storage/vcops/user/conf/ssl/postgres_vcops_cert.pem /storage/vcops/user/conf/ssl/postgres_vcopsrepl_cert.pem
ローカルの管理者ユーザーとして vRealize Operations 管理 UI にログインします。 [クラスタのステータス] で、[オフラインにする] をクリックします。クラスターがオフラインにならない場合は、[クラスタのステータス] の下の[強制的にオフラインにする] をクリックします。
注 :[クラスタのステータス] に [オフライン] と表示されるまで待機します。
[クラスタのステータス] で、[オンラインにする] をクリックします。
注 :[クラスタのステータス] に [オンライン] と表示されるまで待機します。