複数の Security Token Service (STS) 認証局 (CA) 証明書および署名証明書が存在する
search cancel

複数の Security Token Service (STS) 認証局 (CA) 証明書および署名証明書が存在する

book

Article ID: 436608

calendar_today

Updated On:

Products

VMware vCenter Server

Issue/Introduction

免責事項:これは英文の記事「 Multiple Security Token Service (STS) Certificate Authority (CA) Certificates and Signing Certificates 」の日本語訳です。記事はベストエフォートで翻訳を進めているため、ローカライズ化コンテンツは最新情報ではない可能性があります。最新情報は英語版の記事で参照してください。

Symptoms :  
vCert.py スクリプトを使用して STS 証明書の一覧を表示した際に、複数の STS 証明書のエントリが表示されることがあります。

  • Option 2 - View Certificate Info

  • Option 8 - View STS signing certificates
TenantCredential-1
   Certificate Type: Signing Certificate
    Subject: <省略>
    Issuer: <省略>
    End Date: MON DD HH:MM:SS YYYY GMT

   Certificate Type: CA Certificate
    Subject: <省略>
    Issuer: <省略>
    End Date: MON DD HH:MM:SS YYYY GMT


TenantCredential-2
   Certificate Type: Signing Certificate
    Subject: <省略>
    Issuer: <省略>
    End Date: MON DD HH:MM:SS YYYY GMT

   Certificate Type: CA Certificate
    Subject: <省略>
    Issuer: <省略>
    End Date: MON DD HH:MM:SS YYYY GMT

また、Option 1 で全証明書のステータスを確認すると、以下のように複数の STS 証明書が報告されます。

Checking STS Signing Certs & Signing Chains
-----------------------------------------------------------------
Checking TenantCredential-1:
   TenantCredential-1 signing certificate                 EXPIRED
   TenantCredential-1 CA certificate                        VALID
Checking TenantCredential-2:
   TenantCredential-2 signing certificate                   VALID
   TenantCredential-2 CA certificate                        VALID
Checking TrustedCertChain-2:
   TrustedCertChain-2 signing certificate                   VALID
   TrustedCertChain-2 CA certificate                        VALID

以前の STS 証明書が環境要因で適切にクリーンアップされなかった場合、VDT (VCF Diagnostic Tool) は 1 つ以上の STS 証明書が期限切れであると報告することがあります。

Environment

VMware vCenter Server

Cause

STS 証明書のローテーション時に、以前の STS CA 証明書または署名証明書が正しく削除されなかったことが原因です。

STS CA 証明書自体は正常に更新され使用されている可能性がありますが、システムが古いエントリを適切にクリーンアップしていません。

Resolution

vCert - Scripted vCenter Expired Certificate Replacement  スクリプトを使用して、STS 証明書を置換してください。

  • Option 3 - Manage Certificates を選択します。

  • Option 8 - STS signing certificates を選択します。

  • プロンプトに従って、STS 証明書の置換を実行します。

システムが STS 証明書を置換する際に、古いエントリも同時にクリーンアップされます。 通常、STS CA 証明書と STS 署名証明書の TenantCredential エントリは、それぞれ 1 つだけ 存在するのが正しい状態です。

Additional Information

vCenter 8 以降では、STS 証明書は有効期限の 90 日前に自動更新されます。

詳細については、ドキュメントの Security Token Service (STS) を参照してください。

Powered by Wolken Software