免責事項: これは英文の記事「Deploying and using the SSL Certificate Automation Tool 1.0.x (2041600)」の日本語訳です。記事はベストエフォートで翻訳を進めているため、ローカライズ化コンテンツは最新情報ではない可能性があります。最新の内容については、英語版の記事を参照してください。

---

SSL Certificate Automation Tool について

vCenter Server 5.1 での基盤となるアーキテクチャの変更により、さまざまなコンポーネントが安全に相互作用するために複数の証明書が必要になりました。カスタム証明書のインストールが必要なユーザーの場合、これはコンポーネントごとに証明書を生成し、インストールするためにさらに時間を費やすことを意味しています。

SSL Certificate Automation Tool は、自己署名証明書または CA 署名付き証明書の更新プロセスを自動化するコマンドライン ユーティリティです。特に重要なのは Update Steps Planner で、これによりコンポーネントに対する一連の証明書更新を計画することができます。これにより、その他の場合に発生することがあるプロセスのエラーが回避されます。ツールでカスタム証明書は生成されないことに注意してください。これらの証明書はこのドキュメントの指示に従ってオフラインで生成します。その後、以降のドキュメントでは、証明書ツールの機能について説明します。

SSL Certificate Automation Tool バージョン 1.0.1 より前では、証明書要求と証明書はすべて手動で作成する必要がありました。バージョン 1.0.1 では、ツールによって証明書要求の作成が自動化されています。CA への証明書要求の送信は自動化されていません。vCenter サービスに対してサポートされている証明書要求と証明書を生成する手順については、「Generating certificates for use with the VMware SSL Certificate Automation Tool (2044696)」を参照してください。

サポート対象のプラットフォーム

SSL Certificate Automation Tool は、Windows OS を実行するマシンにのみ使用可能です。ツールは次の Windows バージョンでテストおよび確認されています:

• Windows 2003 R2 SP2
• Windows 2008 R2 SP1
• Windows 2012 Standard
• Windows 2012 Datacenter

互換性

SSL Certificate Automation Tool 1.0 および 1.0.1 は vSphere 5.1 環境でのみ動作します。

• SSL Certificate Automation Tool 1.0 は vSphere 5.1 でサポートされています
• SSL Certificate Automation Tool 1.0.1 は、vSphere 5.5 を除く、vSphere 5.1 Update 1 以降でサポートされています
• SSL Certificate Automation Tool 5.5 は vSphere 5.5 でサポートされています

vSphere 5.5 環境で証明書を置き換える必要がある場合、「Deploying and using the SSL Certificate Automation Tool 5.5 (2057340)」を参照してください。

前提条件

SSL Certificate Automation Tool を実行するには、次が必要になります:

• ツールを実行しているサーバでの管理者権限。非管理者ユーザーはツールをダウンロードし、開始することはできますが、適切な権限がない場合はすべての操作が失敗する。
• SSL 証明書が更新される vSphere コンポーネントがある各サーバへのアクセス。
• 証明書が更新されるすべての vCenter Server コンポーネントがすでにインストールされ、実行されている。
• 新しい証明書がすでに存在しており、その新しい証明書の場所がわかっている。 セキュリティを強化するために、各証明書とプライベート キーをそれらが使用されるマシンで生成します。各 vSphere コンポーネントの新しい SSL 証明書にはそれぞれ一意のベース識別名 (DN) が付いている必要がある。

証明書の要件

ツールを実行する前に CA 署名付き証明書を取得することも、ツールで証明書要求を生成することもできます。ツールを実行して証明書を置き換える前に、各 vSphere コンポーネントの新しい SSL 証明書に証明書内でエンコードされた一意のサブジェクト識別名が含まれていることを確認します。

注: 一意の組織単位 (OU) は必須ではありません。OU は DN の一部にすぎません。一意の OU を含むことは一意の DN を実現するための 1 つの方法ですが、決して唯一の方法ではありません。

証明書とプライベート キーは、次の要件を満たしている必要があります:

• プライベート キー アルゴリズム: RSA
• プライベート キー長: >= 1024
• プライベート キー標準: PKCS#1 または PKCS#8
• プライベート キー ストレージ: PEM

推奨される証明書署名アルゴリズムは次のとおりです:

• sha256WithRSAEncryption 1.2.840.113549.1.1.11
• sha384WithRSAEncryption 1.2.840.113549.1.1.12
• sha512WithRSAEncryption 1.2.840.113549.1.1.13

証明書チェーン フォーマットが次の要件を満たしている必要があります:

• リーフ証明書から自己署名認証局証明書まで順序付けられた一連の PEM (base64) エンコード化された X.509 証明書を含む単一の PEM ファイル。
• ファイルに証明書の前、間、後にコメント、スペース、タブが含まれていない。
• 各証明書が前後にスペースがない新しい行でそれぞれ -----BEGIN CERTIFICATE------ で始まり、-----END CERTIFICATE------ で終わっている。
• 他の証明書がファイルにない。
• 証明書チェーンが完了している。つまり、ファイルにチェーンを形成するすべての証明書が含まれている、または証明書チェーンが不完全だが Windows トラスト ストアからの証明書を使用して完了が可能である、のいずれかです。

証明書およびキーのパスまたはファイル名に次の特殊文字が含まれていない:

• ^（カレット）
• %（パーセント）
• &（アンパサンド）
• ;（セミコロン）
• )（右丸括弧)

注: これらの特殊文字のいずれかがある場合、ツールが終了するか、エラーが報告されます。
null

開始する前に

証明書の更新を開始する前に、次の情報を参考にしてください。

• vCenter Server サービスを仮想マシンで実行している場合、不具合が発生した場合のリカバリ時間を早めるために、プロセスを開始する前に仮想マシンのスナップショットを作成します。プロセスが正常に処理されたらスナップショトを削除するようにしてください。
• 証明書をロード バランサーなどのサードパーティ製コンポーネントに対し、および非 Window OS マシンで更新する場合は、手動で行う必要があります。
• ^（カレット）文字を含む文字入力は許可されません。
• ツールまたは新しい証明書のパスまたはファイル名に特殊文字 ^（カレット）、%（パーセント）、&（アンパサンド）、;（セミコロン）、)（右丸括弧）が含まれている場合、ツールが失敗して、終了する、例外が表示される、証明書またはキー ファイルが見つからないことが報告されるのいずれかになります。
• これらのサービスの不具合を回避するために、環境で実行中の依存ソリューションをシャットダウンします。証明書の更新時にシャットダウンが必要なソリューションは次のとおりです。
  • VMware Site Recovery Manager
  • vSphere Data Recovery
  • vCloud Director
  • vCenter Server に接続している可能性のあるサードパーティのソリューション
• この記事の「既知の問題」セクションを確認してください。

SSL Certificate Automation Tool のインストールまたはアップグレード

vSphere コンポーネントが存在する各マシンに SSL Certificate Automation Tool をインストールし、デプロイする必要があります。ただし、単一のマシンでツールを使用して初期計画を行うことができます。

SSL Certificate Automation Tool をインストールするために次の 3 つの構成が可能です。

• 単一の仮想マシン（1 つのマシンにすべてのサービス）: すべてのサービスが同じ仮想マシンにあります。この場合、SSL Certificate Automation Tool を 1 つの仮想マシンにデプロイする必要があります。
   
• 複数の仮想マシン（サービス別マシン）: 各サービスが異なる仮想マシンにあります。この場合、SSL Certificate Automation Tool を 7 つのサービスのいずれかを実行している各仮想マシンにデプロイする必要があります。
   
• 複合モード（マシンごとに複数のサービス）: 一部のサービスが 1 つの仮想マシンで実行されますが、その他のサービスは異なる仮想マシンで実行されます。この場合、SSL Certificate Automation Tool を、更新対象のサービスがあるすべてのマシンと、更新対象のサービスと通信しているデプロイ済みのサービスがあるマシンにデプロイする必要があります。Update Steps Planner を使用して、デプロイの手順の正確な順序を決定します。

SSL Certificate Automation Tool をインストールするには:

重要: SSL Certificate Automation Tool のインストール パスにスペースが含まれていないことを確認してください。
 

1. SSL Certificate Automation Tool をダウンロードします。このダウンロードは、vSphere および vCloud Suite のダウンロード ページの「Drivers and Tools」セクションにあります。
2. vSphere コンポーネントが存在する各マシンにツールをコピーします。
3. 解凍ユーティリティを使用して、ファイルを任意のディレクトリに解凍し、ディレクトリ構造を保持します。

SSL Certificate Automation Tool を前のバージョンからアップグレードするには:

重要: SSL Certificate Automation Tool のインストール パスにスペースが含まれていないことを確認してください。
 

1. SSL Certificate Automation Tool をダウンロードします。このダウンロードは、vSphere および vCloud Suite のダウンロード ページの「Drivers and Tools」セクションにあります。
2. vSphere コンポーネントが存在する各マシンにツールをコピーします。
3. 解凍ユーティリティを使用して、前のバージョンのツールで使用されていたものと異なるディレクトリにファイルを解凍し、ディレクトリ構造を保持します。
   
   注: 新しいバージョンの SSL Certificate Automation Tool へのアップグレードはインストールが不要なため簡単です。また、VMware では混乱を避けるために前のバージョンのツールを削除することをお勧めしています。前のバージョンを削除するには、前のツールが存在するフォルダを削除するだけです。

SSL Certificate Automation Tool の使用

ツールをインストールしたら、証明書を更新するプロセスを開始できます。ただし、開始する前にデフォルト値を事前定義して、プロセスを一部自動化することができます。これは必須ではありませんが、これにより後続の構成手順のエラーを回避することができます。デフォルト値を事前定義しない場合は、以下の「Update Steps Planner の実行」セクションに進みます。

デフォルト値の事前定義

ツールでデフォルト値を事前定義すると、入力エラーを回避し、時間を短縮できます。これにより、ツールで入力を求めるメッセージが表示されず、定義した特定の情報がデフォルトとして自動的に表示されます。セキュリティ上の理由により、デフォルト値の定義時はパスワードのみ保存できません。

デフォルト値を事前定義するには:

1. ssl-environment.bat ファイルをメモ帳などのテキスト エディタで開きます。
2. 更新する関連コンポーネントについてそれぞれ、必須パラメータと、変更するオプションのパラメータを入力します。たとえば、vCenter Server の場合、編集可能なパラメータは vc_cert_chain、 vc_private_key、 vc_username です。
   
   情報を ssl-environment.bat ファイルに含めると、SSL Certificate Automation Tool でこの情報が保存され、証明書更新、信頼更新、ロールバック操作時に必須入力を自動的に事前入力するのに使用されます。
    
3. すべての情報を入力したら、 ssl-environment.bat ファイルを保存して閉じます。
4. デフォルト値を適用するには、コマンド ラインから ssl-environment.bat ファイルを実行します。
   
   注: ssl-environment.bat ファイルによって作成された値はツール起動時にのみ読み取られます。SSL Certificate Automation Tool の実行時に ssl-environment.bat ファイルを実行すると、値は読み取られません。

これらの手順が完了したら、 「Update Steps Planner の実行」セクションに進みます。

Update Steps Planner の実行

Update Steps Planner は、SSL 構成を正しく更新するために進める必要がある順序を決定できるようにするオプションです。VMware では、構成が正しく更新されるように、Update Steps Planner で表示される手順にそのまま従うことをお勧めします。

Update Steps Planner を実行するには:

1. SSL Certificate Automation Tool がインストールされているマシンにログインします。
2. コマンド ラインから、ツールを解凍した場所に移動し、次のコマンドを実行します:
   
   ssl-updater.bat
    
3. メイン メニューで、「1. Plan your steps to update SSL certificates」を選択し、SSL 証明書の更新に必要な手順を決定します。
4. 更新するサービスを示す番号を入力します。
   
   複数の SSL 証明書を更新するには、番号をカンマで区切ります。たとえば、SSL 証明書を Single Sign-On、vCenter Server および vSphere Web Client で更新するには、次を入力します。:
   
   1,3,4
   
   ツールでサポートされているすべてのサービスで証明書を更新するには、8 と入力します。メニュー選択にはサポート対象のすべてのサービスが表示されます。
   
   注: vSphere Web Client とログ ブラウザは同じマシンに存在します。
    
5. Update Steps Planner には、実行が必要な事項とそれを実行する順序が表示されます。タスクを Planner で示される順序で実行します。
   
   重要: Update Steps Planner の使用時に、更新するすべてのサービスを入力します。サービスを個別に入力すると、Planner では手順の順序を正しく決定することができません。手順を正しくない順序で実行すると、更新プロセスが失敗する可能性があります。順序を正しくするためには、コンソールを手順の完全リストに開いたままにするか、リストをテキスト ファイルに保存します。これにより進捗を追跡することができます。
   
   次のイメージに、Update Steps Planner 使用時のサンプルのセッションを示します。
   
   
    
6. 出力のコピーを行った後は 9 を押して、メイン メニューに戻ります。

これらの手順が完了したら、「SSL 証明書および信頼の更新」セクションに進みます。

証明書要求の生成

バージョン 1.0.1 の SSL Certificate Automation Tool には、証明書要求の作成をサポートするための新しい機能が導入されました。この機能により、vCenter Server サービスと使用するサポート対象証明書の生成時の共通の構成問題を回避することができます。

新しい証明書要求機能の使用と、vCenter Server サービスのサポート対象証明書の生成の方法については、「Generating certificates for use with the VMware SSL Certificate Automation Tool (2044696)」を参照してください。

SSL 証明書および信頼の更新

Update Steps Planner には、正常に完了するために従う必要がある正確な手順（選択したサービスのための）が表示されます。プロセスをできるだけ簡単にするため、サービスがメイン メニューに個別にリストされ、それとともに特定のサービスごとの信頼および証明書の更新オプションが表示されます。

たとえば、Inventory Service 構成を更新するには、メニューから Inventory Service を選択します。次にこのメニューで Update the Inventory Service Trust to Single Sign-On オプションと Update the Inventory Service SSL Certificate オプションが表示されます。

通常、これらのコマンドを相互に実行する必要があり、正常な証明書の実装を確実に行うために必要な手順を考慮すると、ワークフローそれ自体は可能な限りシンプルです。

注: 現在のコマンドをキャンセルするための Ctrl+C オプションはツールの実行時は動作しません。

オプションを選択したら、新しい SSL チェーンの場所、プライベート キー、パスワードなど、該当するプロンプトで要求される情報を入力します。完了したら、操作が進み、成功メッセージが表示されるか、発生した問題を説明するエラーが表示されます。不具合のトラブルシューティングについては、この記事の「トラブルシューティング」セクションを参照してください。

手順が成功したら、Update Steps Planner に従って次の手順に進みます。プロセスを続行するには、異なるマシンに移動する必要がある場合があります。この場合、適用可能なマシンにツールをデプロイし、起動します。

注: 時間を短縮し、入力の再入力を避けるために各マシンでツールを実行したままにしておきます。Update Steps Planner で後の手順のためにそのマシンに戻るように要求される場合があるためです。

Update Steps Planner で示されたすべての手順が完了すると、証明書は正常に更新されています。「Exiting the SSL Certificate Automation Tool」セクションに進みます。

SSL Certificate Automation Tool の終了

更新計画が完了したら、該当するメニュー オプションを選択して、ツールを終了することができます。コマンド プロンプト ウィンドウを閉じても現在のセッションが中止され、完了していない、または処理中のアクションはすべて失われます。

注: 現在のコマンドをキャンセルするための Ctrl+C オプションはツールの実行時は動作しません。ウィンドウを閉じてツールを再度開始するか、無効なデータを入力して不具合を強制する必要があります。

トラブルシューティング

特定の更新コマンドが失敗した場合、トラブルシューティングに使用できるいくつかのオプションがあります。この記事の「既知の問題」セクションを参照することもできます。

ロールバック

SSL Certificate Automation Tool にはロールバック機能が組み込まれています。更新操作中に、行われた各アクションによってサービス構成の元の状態がバックアップされます。何らかの理由で更新が成功しなかった場合、失敗した手順をロールバックする必要があることがあります。

サービスごとに、構成をロールバックするオプションがあります。このコマンドを実行して、更新プロセスの開始前の構成の状態を復元します。SSL Certificate Automation Tool によって既存の証明書構造のコピーがバックアップ フォルダに自動的に保存されます。これによりシステム全体を起動し実行し続けるために前に使用された証明書にロールバックすることができます。

SSL Certificate Automation Tool ログ

不具合の原因を判断するため、更新とアクションがコマンドごとにログ記録され、これにより何が行われたかを簡単に確認できるようになります。デフォルトで、ログは SSL Certificate Automation Tool がインストールされているディレクトリの /log ディレクトリに保持されます。ログ フォルダは、会社の方針または環境の要件に応じてツールの開始前に変更できます。デフォルトのログ ディレクトリを LOGS_FOLDER 変数を使用して ssl-environment.bat ファイルに設定します。

ログを確認するには:

1. /log ディレクトリを開きます。
2. 確認するアクションのログを探します。たとえば sso-update-ssl.log ファイルです。同じアクションに対して複数のログがある場合、ログ ファイルの日時を使用して使用する正しいログ ファイルを決定します。
3. ログ ファイルをテキスト エディタで開き、実行時のエラーを検索します。

ログ ファイルを検索して問題を特定したら、問題を修正し、失敗した手順を再度実行します。

既知の問題

このセクションでは、SSL Certificate Automation Tool 使用時の既知の問題を挙げていきます。この既知の問題のリストを確認して、ご使用の環境が影響を受ける可能性があるかどうかを判断してください。

• vCenter Single Sign-On パスワードにスペースを含めることはできない
  
  Single Sign-On パスワードにスペースが含まれている場合、Inventory Service の構成は失敗します。この問題の唯一の回避策は、Single Sign-On パスワードをスペースなしで使用することです。
  
  注: Single Sign-On パスワードと特殊文字に関する前の既知の問題は、vSphere 証明書の置き換え時に発生する場合があります。特殊文字の詳細については、「vSphere 5.1 Single Sign On (SSO) installation fails with error: Error 29133. Administrator login error(2035820)」を参照してください。
   
• 完全修飾ドメイン名 (FQDN) の使用時に vSphere Update Manager の登録に失敗する
  
  vCenter Server 5.1 EP1/P01 での完全修飾ドメイン名 (FQDN) を使用した vSphere Update Manager の vCenter Server への登録はサポートされていません。不具合を回避するため、代わりに IP アドレスを使用して vCenter Server に登録します。この問題は、vCenter Server 5.1 Update 1 で解決されています。
   
• 複数の vCenter Server 使用時に vRealize Orchestrator（旧称 vCenter Orchestrator）で接続に失敗する場合がある
  
  証明書の更新時は、vRealize Orchestrator を vRealize Orchestrator と使用される vCenter Server ごとに vCenter Trust に更新するようにしてください。
   
• vCenter Server to Single Sign-On Trust 操作の失敗によりツールが突然終了する
  
  本リリースでは、証明書に使用されるパスにスペースがある場合、vCenter Server to Single Sign-On Trust 更新操作が失敗し、これによりツールが突然終了します。この問題を回避するには、パスにスペースが含まれないようにしてください。
   
• バックアップ ディレクトリが変更されるとロールバックが失敗する場合がある
  
  前の SSL 証明書更新操作に使用されたバックアップ ディレクトリが ssl-environment.bat ファイルで変更されると、ロールバックの前に元のディレクトリがリセットされない限り、ロールバックは失敗します。
   
• 正しくないデータベース パスワードが入力されると vCenter Server が起動しない
  
  vCenter Server 証明書の更新時に、新しい証明書を使用して暗号化できるようにデータベース パスワードが要求されます。SSL Certificate Automation Tool ではパスワードの有効性はチェックされないため、パスワードを入力する場合は注意してください。
  
  パスワードが正しく入力されないと、vCenter Server は起動しません。この問題を解決するには、vCenter Server インストール ディレクトリに移動し、次のコマンドをコマンド ラインから実行して、パスワードをリセットします:
  
  vpxd.exe -p
   
• ログ ブラウザが vCenter Single Sign-On 証明書の更新後に失敗する場合がある
  
  vCenter Single Sign-On の証明書をインストールし、更新すると、ログ ブラウザが「不正アクセス」というメッセージにより失敗する場合があります。この問題を解決するには、Update Log Browser trust to Single Sign-On コマンドを実行します。これは、証明書を一度に 1 つのサービスごとに、1 つずつの置き換え手順で更新する場合にのみ発生します。
   
• 複数のサービス ID が Lookup Service に対して存在する場合に vCenter Server 証明書の更新がエラーによって失敗することがある
  
  SSL Certificate Automation Tool を使用して vCenter Server の証明書を更新する場合、手順が次のエラーによって失敗することがあります:
  
  入力として提供された証明書は一意の証明書でない可能性があります
  
  これは、vpxd に vpxd.cfg ファイルの Lookup Service に対し複数のサービス ID が含まれているために発生する可能性があります。
   
• 証明書を置き換えた、前にアップグレードした vCenter Server インストールに手動による処理が必要な場合がある
  
  vCenter Server のインストールが前のリリースからアップグレードされた場合、SSL Certificate Automation Tool を実行する前にいくつかの手順を実行する必要があることがあります。詳細については、「Validating and correcting errors for an upgraded vCenter Server using the SSL Certificate Automation Tool (2048202)」を参照してください。
   
• vSphere Web Client で次のエラーが報告される: SSL 証明書の検証に失敗しました
  
  SSL Certificate Automation Tool を実行した後、vSphere Web Client で次のエラーが報告される場合があります:
  
  1 つ以上の vCenter Server システムに対して SSL 証明書の検証に失敗しました
  
  この問題を解決するには、「vSphere 5.1 Web Client reports this SSL warning after an installation or upgrade: Failed to verify the SSL certificate for one or more vCenter Server Systems (2036505)」を参照してください。
   
• 証明書チェーンへのパスが正しくない場合、エラーが報告される
  
  証明書チェーンへのパスが正しくない場合、次のエラーが表示されます:
  
  Exception in thread "main" java.io.FileNotFoundException: C:\certs\wrongfile\rui.crt (The system cannot find the file specified)
  at java.io.FileInputStream.open(Native Method)
  at java.io.FileInputStream.(Unknown Source)
  ....
  
  これは予期される動作です。チェーン ファイルへのパスを修正して、手順を再度実行してください。
   
• 4096 ビット証明書の使用時に Inventory Service の 1 つずつのインストールが失敗する
  
  4096 ビット証明書を使用して 1 つずつの サービス インストールを実行している場合、Inventory Service のインストールがフリーズします。4096 ビット証明書を使用するには、1 つずつのインストールを使用しないでください。すべてのコンポーネントをインストールしてから、コンポーネントの証明書を更新します。これは既知の問題です。
   
• リンク モード構成の VMware Inventory Service への接続時にクライアントが未認証であるというエラーが表示される
  
  すべての証明書をリンク モード構成で実行時に更新すると、証明書の更新後 10 分間、Inventory Service へのログインが失敗することがあります。この後、認証が成功し、機能が復元されます。
   
• カスタム ポートがコンポーネントに使用されている場合、SSL Certificate Automation Tool が失敗することがある
  
  カスタム ポートが vCenter Server サービスのインストールに使用される場合、SSL Certificate Automation Tool による証明書の構成が失敗することがあります。これは既知の問題です。この問題を回避するには、デフォルトのポートを使用します。
   
• vCenter Server 証明書を置き換えた後、vRealize Operations Manager からの収集が動作しない。
  
  証明書の更新時、これにより vRealize Operations Manager との信頼が破棄され、データ収集が行われなくなります。この問題を解決するには、「Accessing VMware vRealize Operations Manager 5.x fails with the error: Not Authorized (2041162)」を参照してください。
   
• vCenter Server の管理対象オブジェクト ブラウザが『VMWare vSphere Hardening Guide』に従って無効化された場合、これにより vCenter Server SSL 証明書更新プロセスが失敗する。
  
  アップグレード時に、Automation Tool では次のエラーが報告されます:
  
  [Tue 01/28/2014 - 11:07:13.83]: Validating the input parameters...
  STATE : 4 RUNNING
  HTTPError: Unable to open or read page.
  HTTP Error 503: Service Unavailable
  [Tue 01/28/2014 - 11:07:14.77]: "Cannot log in to vCenter."
  [Tue 01/28/2014 - 11:07:14.78]: The vCenter certificate update failed.
  
  この問題を解決するには、「vCenter Server Managed Object Browser (MOB) reports a 503 Service Unavailable error (2042554)」を参照してください。