VMware vSphere ESXi 7.x

VMware vSphere ESXi 8.x

vCenter Server は、VMware Endpoint Certificate Store 内のすべての証明書を監視します。いずれかの証明書の有効期限が近づいている場合、vCenter Server 内で「ESXiホスト証明書ステータス(ESXi Host Certificate Status)」アラームをトリガーします。

問題が発生している ESXi ホストの SSL 証明書を更新します。

VMCA証明書の場合

vSphere UI を使用して vCenter Server から直接、または対象のホストに対して証明書を更新します。

1. vSphere Client のインベントリで、対象のホストを選択します。
2. 構成 タブをクリックします。
3. システム 配下にある 証明書 をクリックします。選択したホストの証明書の詳細情報が表示されます。
4. vCenter Server 8.0 Update 3 以降をご利用の場合： 画面右上のボタンから [VMCAを使用した管理] を選択し、[更新] または [CA 証明書の更新] をクリックします。
   vCenter Server 8.0 Update 3 より前のバージョンをご利用の場合： [VMCAを使用した管理] の選択画面は表示されません。直接 [更新] または [CA 証明書の更新] を選択してください。
   更新 (Renew): VMCA からホストの新しい署名付き証明書を取得します。
   CA 証明書の更新 (Refresh CA Certificates): vCenter Server の VECS ストア内にある TRUSTED_ROOTS ストアのすべての証明書をホストにプッシュします。
5. はい をクリックして確定します。

vCenter Server の vSphere Client から対象の ESXi ホストを管理できない場合は、SSH セッションを使用して証明書を更新してください。

1. Web ブラウザで VMware Host Client を使用して ESXi ホストにログインします。
2. アクション メニューから サービス > セキュアシェル (SSH) の有効化 を選択します。
3. PuTTY などの SSH クライアントを使用して ESXi ホストにログインします。
4. 次のコマンドを実行して、自己署名証明書を再生成します。
   $ /sbin/generate-certificates
5. 次のコマンドを実行して、hostd および vpxa サービスを再起動します。
   $ /etc/init.d/hostd restart && /etc/init.d/vpxa restart
6. VMware Host Client に再度ログインし、アクション メニューから サービス > セキュアシェル (SSH) の無効化 を選択します。
7. 残りのすべてのホストに対して、上記の手順を繰り返します。

外部 CA 証明書の場合
外部 CA 署名付き証明書を使用している場合は、次のナレッジベース記事を参照してください： Configuring CA signed certificates for ESXi hosts

vCenter Server の vSphere Client から ESXi SSL 証明書の更新/再表示を行う前に、以下の前提条件を満たしていることを確認してください。

• ESXi ホストの接続: ESXi ホストが vCenter Server に接続されていること。
• 時刻同期: vCenter Server システムと ESXi ホストの間で時刻が同期されていること。
• 名前解決 (DNS): vCenter Server システムと ESXi ホストの間で DNS による名前解決ができること。
• vCenter 証明書の有効性: vCenter Server システムの「MACHINE_SSL_CERT」および「TRUSTED_ROOT」証明書が有効であり、期限切れになっていないこと。詳細は以下のナレッジベース記事を参照してください： Manually reviewing certificates in VMware Endpoint Certificate Store for vSphere 6.x and 7.x
• メンテナンスモード: ESXi ホストがメンテナンスモードになっていないこと。

"ESXi Host Certificate Status" alert for any host in vCenter Server