免責事項：これは英文の記事「Alarm For Transport Node Certificate Has Expired.」の日本語訳です。記事はベストエフォートで翻訳を進めているため、ローカライズ化コンテンツは最新情報ではない可能性があります。最新情報は英語版の記事で参照してください。

タイトル: transport_node_certificate_expired アラーム
イベント ID: transport_node_certificate_expired
アラームの説明

• 目的：トランスポートノード証明書の有効期限が切れたことをユーザーに通知します。

• 影響：トランスポートノードがマネージャーとの接続を切断し、再接続できなくなる可能性があります。

• 原因：トランスポートノード証明書の有効期限が切れています。

警告： このアラームはできるだけ早く対処する必要があります。TN証明書の有効期限が切れると24時間の猶予期間が設けられますが、その後影響を受けるすべてのエッジおよびホストがNSXから切断されます。

VMware NSX 4.1.x および 4.2.0

NSX 4.1.x および 4.2.0 では、エッジおよびホストトランスポートノードは、有効期間が 825 日の証明書を使用してインスタンス化されます。

NSX-T 3.x および NSX 4.2.1 以降では、有効期間が 10 年の証明書を使用してトランスポートノードが作成されます。
ノードの作成時に使用されたトランスポートノード証明書は、アップグレード時に置き換えられません。 
これらのバージョンにデプロイされたエッジまたはこれらのバージョンで準備または再準備されたホストには、この有効期間の短い証明書が使用されます。

NSX バージョン 4.1.0 から 4.2.0 までの場合:

NSX UI の [システム] -> [ファブリック] -> [ホスト/ノード] でトランスポート ノードの接続状態を確認します。
注:証明書の有効期限が切れていても、ホストまたはエッジが [接続済み] および [成功] と表示される場合があります。
          ホストまたはエッジで root ユーザーとして ssh 接続し、次のコマンドで証明書の有効期限を確認します。

          openssl x509 -enddate -noout -in /etc/vmware/nsx/host-cert.pem.

トランスポートノードの証明書の有効期限が切れているか、間もなく切れるにもかかわらず、NSXに接続されている状態です。

CARRスクリプトを使用すると、TN証明書を置き換えることができます。詳細については、「Using Certificate Analyzer, Results and Recovery (CARR) Script to fix certificate related issues in NSX.」の「トランスポートノード証明書」セクションを参照してください。

トランスポートノードの証明書の有効期限が切れており、NSX で TN が切断状態になっています。

1. 1. rootユーザーとしてトランスポートノードにSSH接続します。
   2. 空のトランスポートノード証明書と秘密鍵
      
      cat /dev/null > /etc/vmware/nsx/host-cert.pem
cat /dev/null > /etc/vmware/nsx/host-privkey.pem
      
      

   3. 新しい自己署名TN証明書とキーを生成します。
      NSX 4.1.xバージョン4.1.2.5より前のバージョンの場合：

      
      a) 既存のopenssl設定ファイルから一時的なopenssl設定ファイルを作成します。

      cat /etc/vmware/nsx/openssl-proxy.cnf > /tmp/tmp-openssl-proxy.cnf

      b) UUIDが抽出され、一時的なopenssl設定に追加されます。

      echo "UID = $(grep -o '<uuid>[^<]*' /etc/vmware/nsx/host-cfg.xml | sed 's/<uuid>//')" >> /tmp/tmp-openssl-proxy.cnf

      c) 一時的なopenssl設定に拡張機能を追加します。

      echo -e "[ req_ext ]\nbasicConstraints     = CA:FALSE\nextendedKeyUsage     = clientAuth\nsubjectKeyIdentifier = hash\nauthorityKeyIdentifier = keyid,issuer" >> /tmp/tmp-openssl-proxy.cnf

      d) 証明書を入れ替えます。以下の"-days"パラメータは、3650日（10年）の有効期間を指定します。

      openssl req -new -newkey rsa:2048 -days 3650 -nodes -x509 -keyout /etc/vmware/nsx/host-privkey.pem -out /etc/vmware/nsx/host-cert.pem -config /tmp/tmp-openssl-proxy.cnf -extensions req_ext



      NSX 4.1.2.5以降の場合、nsx-proxy restartコマンドを実行すると、新しい証明書キーペアが作成されます。
      
      /etc/init.d/nsx-proxy restart
      
      

   4. NSX Managerのサムプリントを特定し、管理者ユーザーとしてNSX ManagerにSSH接続します。
      
      get certificate api thumbprint
      
      
   5. 新しい証明書キーペアをマネージャーにプッシュするには、ホストまたはエッジのルートユーザーから、以下のコマンドを実行します（任意のNSXマネージャー名またはIPアドレスを使用できます）。
      
      エッジ
      su admin -c push host-certificate <Manager hostname-or-IP> username admin thumbprint <thumbprint from step 4>
su admin -c sync-aph-certificates <Manager hostname-or-IP> username admin thumbprint <thumbprint from step 4>
      
      ホスト
      nsxcli -c push host-certificate <Manager hostname-or-IP> username admin thumbprint <thumbprint from step 4>
nsxcli -c sync-aph-certificates <Manager hostname-or-IP> username admin thumbprint <thumbprint from step 4>


   6. NSX UIで、[システム]→[ファブリック]→[ホスト]の順に移動してホストに戻り、 [切断されたリンク]を選択してアラームを解決します。
      
      
   7. トランスポートノードの状態が依然としてエラーを示している場合は、接続を復元するためにトランスポートノード上でをnsx-proxyとnsx-opsagentを再起動する必要がある場合があります。
      
      エッジ
      /etc/init.d/nsx-proxy restart
/etc/init.d/nsx-opsagent-appliance restart
      

      ホスト
      /etc/init.d/nsx-proxy restart
/etc/init.d/nsx-opsagent restart

• Internal error reported when running the NSX cli push host-certificate
• NSX Edge transport Node shows MPA disconnected on NSX GUI after replacing internal certificates in NSX 4.#
• "Status of Edge Transport node <UUID> is PARTIALLY_DISCONNECTED" upgrade pre-check error