SSL インスペクション 有効化後の vCenter Server Entra ID ドメインユーザー ログイン失敗
search cancel

SSL インスペクション 有効化後の vCenter Server Entra ID ドメインユーザー ログイン失敗

book

Article ID: 432919

calendar_today

Updated On:

Products

VMware vCenter Server

Issue/Introduction

免責事項: これは英文の記事vCenter Server Entra ID Domain User Login Failure After Enabling SSL Inspectionの日本語訳です。記事はベストエフォートで翻訳を進めているため、ローカライズ化コンテンツは最新情報ではない可能性があります。最新情報は英語版の記事を参照してください。

 

Microsoft Entra ID 統合認証を使用している組織において、vCenter Server への Entra ID ドメインユーザーのログインが失敗する場合があります。この問題は、プロキシサーバーでの SSL インスペクション(SSL 復号)の有効化など、ネットワークセキュリティインフラストラクチャの変更後に発生するのが一般的です。

vCenter Server の /var/log/vmware/vc-ws1a-broker/federation-service.log を確認すると、login.microsoftonline.com への接続試行時に TLS ハンドシェイクエラーが記録されます。

YYYY-MM-DDTHH:MM:SS INFO  <vc_fqdn>:federation (vert.x-eventloop-thread-27) [-;-;-;-;-;-] org.bouncycastle.jsse.provider.ProvTlsClient - [client #12515 @75de2833] opening connection to login.microsoftonline.com:443
YYYY-MM-DDTHH:MM:SS INFO  <vc_fqdn>:federation (vert.x-eventloop-thread-27) [-;-;-;-;-;-] org.bouncycastle.jsse.provider.ProvTlsClient - [client #12515 @75de2833] raised fatal(2) certificate_unknown(46) alert: Failed to process record org.bouncycastle.tls.TlsFatalAlert: certificate_unknown(46)
.
.
Caused by: java.security.cert.CertificateException: Unable to construct a valid chain
.
.
Caused by: java.security.cert.CertPathBuilderException: No issuer certificate for certificate in certification path found.

これらのエラーは TLS ハンドシェイク時に提示された証明書の検証に失敗したことを示します。

Environment

VMware vCenter Server 8.0.x

Cause

vCenter Server には、Microsoft Entra ID との通信を担当する VIDB (vc-ws1a-broker) と呼ばれるサービスが含まれています。

プロキシで SSL インスペクションが有効な場合、プロキシは独自の内部 CA によって署名された証明書を提示します。VIDB サービスはこの内部 CA を自動的には信頼しないため、証明書チェーンの検証に失敗し、Entra ID 認証エラーが発生します。

Resolution

前提条件: VMware vCenter in Enhanced Linked Mode pre-changes snapshot (online or offline) best practice


この問題を解決するには、プロキシサーバーの CA 証明書を vCenter VIDB (vc-ws1a-broker) サービスが使用するキーストアに追加します。

ステップ 1: VIDB キーストアの場所を特定する

VIDB サービスはコンテナ内で実行され、独自の JRE キーストアを使用します。そのため、VECS やシステム全体のトラストストアには依存しません。

注:

  • <HASH> ディレクトリ名はデプロイごとに固有です。

  • JRE バージョン(例: jre-17.0.10)は vCenter バージョンによって異なる場合があります。

一般的なキーストアのパス:

/storage/containers/vc-ws1a-broker/<HASH>/rootfs/usr/local/jre-17.0.10/lib/security/cacerts


ステップ 2: 完全な証明書チェーンを作成する

プロキシが中間 CA を使用している場合は、完全な証明書チェーンをインポートしてください。:

cat domain.der intermediate.der root.der >> chain.crt

 

Step 3: Import the Proxy CA Certificate(s)

keytool -noprompt -storepass changeit -import -trustcacerts -file "<location to cert file on disk>"  -alias <some alias> -keystore "path to the store from Step 1"

 

ステップ 4: VIDB サービスを再起動する

service-control --restart vc-ws1a-broker

 

 

Additional Information

vCenter Server Entra ID Domain User Login Failure After Enabling SSL Inspection

Powered by Wolken Software