TAM サービス vSphere

[TAM Blog] vSphere製品に関する証明書について(GUI編)

皆さまこんにちは! TAMの久松です。

2023 年 11 月 14 日 ~ 15 日には VMware Explore 2023 Tokyo が開催されました。
VMware の最新情報や、実際のお客様事例など見ごたえのあるコンテンツが沢山あります。
ライブ配信したセッションは、12月1日(金)よりオンデマンド公開しておりますので、
見逃した方や振り返りをしたい方々は有用な情報も多いのでぜひご確認ください。

VMware Explore 2023 Tokyoへのリンク

さて、今回は、VMware vSphere (VMware vCenter Server Appliance (以下 vCenter と記載します)/ VMware ESXi  (以下 ESXi と記載します))の証明書について、
「証明書の役割」「有効期限が切れた場合の影響」「デフォルトの有効期限」「有効期限の確認方法」「証明書の更新方法」に関してご紹介させて頂きます。

 

■目次

はじめに
vSphere ( vCenter / ESXi )に関する証明書一覧
vCenter に関する証明書について
ESXi に関する証明書について
最後に

 

■はじめに

この記事の前提条件について明記させて頂きます。
vSphere の証明書と一口で言っても、利用頂いているバージョン毎に細かく仕様が異なる部分があるため、本記事では、2023年11月時点の VMware vCenter Server 7.0 Update 3 を前提としてご紹介させて頂きます。
他バージョンや最新情報につきましては、弊社の DocsKB の確認か、担当 TAM にご相談頂くようお願いいたします
本記事では GUI 編ということで、GUI における証明書の確認/更新方法に絞ってご紹介させて頂きます。
CUI 編はこちらの記事で公開しております。

 

■vSphere ( vCenter / ESXi )に関する証明書一覧

vSphere ( vCenter / ESXi )で利用している証明書はそれぞれ以下となっております。

・vCenter

証明書名 確認方法
STS証明書 GUI、CUI どちらでも可
マシンSSL証明書 GUI、CUI どちらでも可
ソリューションユーザ証明書 CUI のみ可
root 証明書 GUI、CUI どちらでも可

・ESXi

証明書名 確認方法
マシンSSL証明書 GUI、CUIどちらでも可

 

 

■vCenter に関する証明書について

STS証明書
マシンSSL証明書
ソリューションユーザ証明書
root証明書

 

・STS証明書

証明書の役割:
vCenter とその他の関連サービスとの間で行われる通信をセキュアにするために使用されます。

有効期限が切れた場合の影響:
vSphere Client への接続が失敗し vCenter にログイン出来なくなります。

デフォルトの有効期限:
・7.0 U1 以降で新規構築インストール時:10 年
・6.5 U2で構築、7.0 へのアップグレードした場合:2 年
・手動で証明書の更新をした場合:2 年

有効期限の確認方法:
7.0 U2 以降をご利用の場合、vSphere Client からの確認可能です。
こちらのKB (https://kb.vmware.com/s/article/79248)をご参照ください。
出力イメージ:

7.0 U2 以前をご利用 or 証明書の有効期限が切れた場合、vSphere Client (GUI) での確認は出来ません。
その場合、こちらのKB (https://kb.vmware.com/s/article/79248)に沿って、
vCenter の管理コンソールに root ユーザでログインし、
KB に添付されている「checksts.py」を実行することで確認可能です。
こちらの記事で手順イメージを公開しております。

証明書の更新方法:
Docs (https://docs.vmware.com/jp/VMware-vSphere/7.0/com.vmware.vsphere.authentication.doc/GUID-568A53A4-BED4-4F05-BB94-650E758409CC.html)の手順を利用して vSphere Client (GUI)で証明書の更新が可能です。
※カスタム証明書やサードパーティ証明書を利用している場合、強制的に更新後のSTS証明書に上書きされるため、それらを利用していないことを必ずご確認ください
実行イメージ:

有効期限が切れて vSphere Clientから vCenter へのログインが出来なくなった場合は、vSphere Client (GUI) での更新は不可となっております。
その場合、こちらのKB(https://kb.vmware.com/s/article/76719)記載の通り、
vCenter の管理コンソールにrootユーザでログインすることで更新可能です。
こちらの記事で手順イメージを公開しております。

 

・マシンSSL証明書

証明書の役割:
vCenter と SSL通信実施時や、vCenter 内のサービス間で通信をする際に使用される証明書です
【使用するサービス例】
・リバースプロキシサービス
・ vCenter サービス ( vpxd )
・ VMware Directory Service ( vmdir )

有効期限が切れた場合の影響:
vCenter サービス起動失敗や、vSphere Client への接続が失敗し vCenter にログイン出来なくなります。
※既に接続されているセッションでは有効期限が切れた場合でも操作は可能ですが、
一度セッションが切断されると再接続は出来なくなります。

デフォルトの有効期限:
・新規インストール時:2年
・手動更新時:2年

有効期限の確認方法:
vSphere Client (GUI) で確認する場合は、
メニュー > 管理 > 証明書 > 証明書の管理 を選択し、マシンSSL証明書の “有効期限の終了日” を確認する
出力イメージ:

有効期限が切れて vSphere Client から vCenter へのログインが出来なくなった場合は、vSphere Client (GUI) での確認は不可となっております。
その場合は、こちらのKB (https://kb.vmware.com/s/article/82332)記載の通り、
vCenter の管理コンソールに root ユーザでログインし、コマンドを実行することで確認可能です。
こちらの記事で手順イメージを公開しております。

証明書の更新方法:
vSphere Client (GUI) で更新する場合は、
メニュー > 管理 > 証明書 > 証明書の管理 を選択し、マシンSSL証明書の “アクション” を選択して、期間(最大2年間)を指定して更新を押下してください。


※証明書の更新処理が開始されると、 vCenter が自動再起動が発生します。
その為、処理開始から 10 分程度待ってから vCenter に再ログインして証明書が更新されたことを確認して下さい。

有効期限が切れてしまい、vSphere Client から vCenter へのログインが出来なくなった場合は、vSphere Client (GUI) での更新は不可となっております。
その場合は、こちらのKB(https://kb.vmware.com/s/article/2112283)記載の通り、
vCenter の管理コンソールに root ユーザでログインし、「Certificate Manager」から更新が可能です。
こちらの記事で手順イメージを公開しております。

 

・ソリューションユーザ証明書

証明書の役割:
ソリューションユーザが vCenter へ SSO 接続するときに使用する証明書です。
【ソリューションユーザの例】
・machine:License や Log サービスで使用するユーザー
・vpxd:vCenter サービス全般で使用するユーザー
・vpxd-extension:vCenter サービスの拡張機能で使用するユーザー

有効期限が切れた場合の影響:
vCenter サービス起動失敗や、vSphere Client への接続が失敗し vCenter にログイン出来なくなります。
また、他 VMware 製品( VMware Horizon VMware NSXVMware Aria Operations …etc)と vCenter を連携させている場合、
その製品と vCenter 間で接続が取れなくなります。

デフォルトの有効期限:
・新規インストール時:10 年
・手動更新時: 2 年

有効期限の確認方法:
vSphere 7.0では、CUI でのみ確認が可能となっております。
KB (https://kb.vmware.com/s/article/82332)記載の通り、
vCenter の管理コンソールに root ユーザでログインし、コマンドを実行することで確認可能です。
こちらの記事で手順イメージを公開しております。

証明書の更新方法:
vSphere 7.0 では、CUI でのみ更新が可能となっております。
こちらのKB (https://kb.vmware.com/s/article/2112283)記載の通り、
vCenter の管理コンソールに root ユーザでログインし、「Certificate Manager」から更新が可能です。
こちらの記事で手順イメージを公開しております。

 

・root証明書

証明書の役割:
vSphere の証明書の、証明書チェーンとして利用するためのデジタル証明書です。

有効期限が切れた場合の影響:
root証明書が発行した各証明書と、その証明書に紐づいたサービスの起動が失敗する可能性があります。

デフォルトの有効期限:
・新規インストール時:10 年
・手動更新時:10 年

有効期限の確認方法:
vSphere Client ( GUI ) で確認する場合は、
メニュー > 管理 > 証明書 > 証明書の管理 を選択し、マシンSSL証明書の “有効期限の終了日” を確認する
出力イメージ:

有効期限が切れてしまい、vSphere Client から vCenter へのログインが出来なくなった場合は、vSphere Client (GUI) での更新は不可となっております。
その場合は、マシンSSL証明書同様に、こちらのKB(https://kb.vmware.com/s/article/82332)記載の通り、vCenter の管理コンソールに root ユーザでログインし、コマンドを実行することで確認可能です。
後日、別の記事でご紹介させて頂きます。

証明書の更新方法:
vSphere 7.0 では、CUI でのみ更新が可能となっております。
こちらのKB (https://kb.vmware.com/s/article/2112283)記載の通り、
vCenter の管理コンソールに root ユーザでログインし、「Certificate Manager」から更新が可能です。
こちらの記事で手順イメージを公開しております。

■ESXiに関する証明書について

マシンSSL証明書

 

・マシンSSL証明書

証明書の役割:
ESXi で動作する各種サービスがSSL通信を行うために使用する証明書です。

有効期限が切れた場合の影響:
ESXi が vCenter から切断されます。

デフォルトの有効期限:
・新規インストール時:5 年
・手動更新時:5 年

有効期限の確認方法:
Docs (https://docs.vmware.com/jp/VMware-vSphere/7.0/com.vmware.vsphere.security.doc/GUID-ECFD1A29-0534-4118-B762-967A113D5CAA.html)
の手順を利用してvSphere Client (GUI) で証明書の有効期限の確認が可能です。
出力イメージ:

ESXi に SSH でログインすることによって、CUI での確認も可能となっております。
こちらの記事で手順イメージを公開しております。

証明書の更新方法:
Docs (https://docs.vmware.com/jp/VMware-vSphere/7.0/com.vmware.vsphere.security.doc/GUID-ECFD1A29-0534-4118-B762-967A113D5CAA.html)
の手順を利用して、vSphere Client (GUI) で証明書の更新が可能です。
実行イメージ:

 

■最後に

vSphere (vCenter / ESXi) の主要な証明書についてご紹介させて頂きました。
どの証明書も有効期限が切れた場合、サービスに大きな影響を及ぼす可能性が高いため、
まずは現在の証明書の有効期限をご確認頂ければ幸いでございます。
また、上記の証明書を更新した場合 vCenter と連携している製品側で、新しい証明書を使った再接続設定が必要となります。
その為、証明書更新は影響範囲を十分に確認したうえで対応お願い致します
本記事を含めて、VMware 製品に関する証明書についてご不明点・ご相談事項ございましたら、担当 TAM までご連絡ください。