VMware Aria Operations for Logs 8.12 以降における期限切れ証明書
search cancel

VMware Aria Operations for Logs 8.12 以降における期限切れ証明書

book

Article ID: 427773

calendar_today

Updated On:

Products

VCF Operations/Automation (formerly VMware Aria Suite)

Issue/Introduction

免責事項:これは英文記事「Expired certificate in VMware Aria Operations for Logs 8.12 and Later」の日本語訳です。記事はベストエフォートで翻訳を進めているため、ローカライズ化コンテンツは最新情報ではない可能性があります。最新情報は英語版の記事で参照してください。

VMware Aria Operations for Logs 8.12 以降では、以下の新規スクリプトが利用可能です。
/usr/lib/loginsight/application/sbin/custom-ssl-cerf
これにより UI、API、syslog および内部処理で使用される証明書を更新することができます。

一般的な症状:

  • クラスタ再起動後やバージョン 8.12 からのアップグレード後、UI が利用できない。
  • 各クラスタノードで以下コマンドを実行すると、証明書が期限切れとなっている。

echo "" | keytool -list -keystore /usr/lib/loginsight/application/etc/3rd_config/keystore -rfc 2> /dev/null | openssl x509 -noout -enddate 

  • Cassandra サービスが停止し、ノードがクラスタから切断済みと表示される。
    /storage/core/loginsight/var/cassandra.log に以下エラーが記録される。

Caused by: java.security.cert.CertificateExpiredException: NotAfter: {過去の日付/時間}

Environment

VMware Aria Operations for Logs 8.12.x 以降

 

Resolution

前提条件

  • この対処方法では、.pem 証明書をアップロードする必要があります。
  • もしカスタム証明書を利用する場合、WinSCP 等の SCP ユーティリティにより各クラスタノードの /tmp ディレクトリへ .pem ファイルをアップロードしてください。
注意: VMware Aria Operations for Logs 8.12 build 21618456 ではクライアント認証(Client Auth)が必要です。Build 21696970 以降では必要ありません。もし build 21618456 を使用している場合、カスタム証明書がこの要件を満たすようにしてください。

ノード上で以下コマンドを実行し、要件が満たされているか確認可能です。
echo | openssl s_client -connect localhost:443 2>/dev/null | openssl x509 -noout -purpose | grep 'SSL client :'
    • SSL client : Yes と表示される場合、証明書インストールセクションへ進むことができます。
    • SSL client : No と表示される場合、クライアント認証が有効な証明書を再作成してください。クライアント認証は認証局により extendedKeyUsage 欄で設定されます。認証局へカスタム証明書の署名を依頼する際は、クライアント認証が有効となるようご連絡ください。
  • 証明書要件のさらなる詳細については Install a Custom SSL Certificate を参照してください。また、自己証明書の生成には以下手順を実施してください。
免責事項:VCF Operations で使用するカスタム証明書の作成についてはサポート範囲外です。追加のサポートが必要となる場合は、アカウントマネージャーまたはテクニカルアカウントマネージャーにご連絡ください。

自己証明書作成

  1. SSH またはコンソールにより、プライマリノードへ root としてログイン
  2. 以下コマンドにより自己証明書を作成 
    openssl req -newkey rsa:2048 -keyout domain.key -x509 -days 3650 -out domain.crt -nodes
    注意:このコマンドは自己証明書を期限 3650 日 (10 年)で作成します。組織のセキュリティ要件に応じて、-days オプション値の変更により期限を変更できます。

    注意:入力が求められるため、ご利用の環境に応じた値を入力してください。デフォルト証明書オプションを使用する場合は以下値をそのまま入力してください。
入力項目
Country US
State Or Province California
Locality Palo Alto
Organization VMware, Inc.
Organization Unit vCenter Log Insight
Common Name VMware vCenter Log Insight
  1. 鍵と証明書を以下コマンドにより連結して .pem ファイルを作成
    この .pem ファイルは次のセクションで使用します。
    cat domain.key domain.crt > /tmp/cert.pem
  2. WinSCP 等の SCP ユーティリティにより /tmp/cert.pem をクラスタ内他ノード全ての /tmp ディレクトリへコピー

証明書インストール

  1. SSH またはコンソールにより、プライマリノードへ root としてログイン
  2. 新規作成またはアップロードされた証明書を、以下コマンドにより指定の場所へコピー 
    cp /tmp/cert.pem /usr/lib/loginsight/application/etc/certs/custom.pem
    注意/tmp/cert.pem はアップロードされた実際のカスタム証明書ファイルのパスへ置き換えてください。
  3. custom-ssl-cerf スクリプトを実行 
    /usr/lib/loginsight/application/sbin/custom-ssl-cerf
  4. 証明書期限が更新されたことを確認
    echo "" | keytool -list -keystore /usr/lib/loginsight/application/etc/3rd_config/keystore -rfc 2> /dev/null | openssl x509 -noout -enddate
  5. 手順 2 から 4 を残りのクラスタ内ノードで実施
  6. 全ノードの loginsight サービスを1台ずつ再起動 
    systemctl restart loginsight
    注意:サービス再起動から数分後、service loginsight status コマンドにより loginsight サービスが実行中か確認してください。その後、次のノードでサービス再起動を進めてください。
注意:FIPS モードが有効な場合、追加手順を実施する必要があります。Aria Operations for Logs UI running in FIPS mode is not accessible after SSL certificate expired.

Additional Information

Openssl は VMware 仮想アプライアンスにインストールされています。要件に基づいて CSR と鍵を作成してください。

Generate a CSR and key 

Powered by Wolken Software