vCenter 7.xの一部証明書の有効期限(その1)
んにちは。
今回は、
vCenter 7.xの一部証明書の有効期限(その1)についてご紹介します。
以前、vCenter 6.5 u2のSTS証明書について、
投稿したことがありましたが、
このSTS証明書の問題は6.7以降、VMware社様の方で問題にならないようにして頂けておりました。
が、しかし、
7.0では別の証明書が問題となり、以前と同様に2年でvCenter(vSphere Web Client)にログインできないなどの問題が発生します。
今回は、障害対応を主目的として、
切り分けの方法と対処の方法を備忘録として残しておきます。
- 証明書の状態の確認
VCSAにSSHで接続し、以下のコマンドを実行して
証明書の有効期限を確認します。
for store in $(/usr/lib/vmware-vmafd/bin/vecs-cli store list | grep -v TRUSTED_ROOT_CRLS); do echo "[*] Store :" $store; /usr/lib/vmware-vmafd/bin/vecs-cli e ntry list --store $store --text | grep -ie "Alias" -ie "Not After";done;
参照元:Verify and resolve expired vCenter Server certificates using command line (82332)
新規構築した場合の一般的?な話としては、今回のユーザ様環境のように
「マシン SSL 証明書」と「ソリューションユーザ証明書」の2種類が期限切れとなっていると思います。
- Certificae Manager による証明書更新(事前準備:PNID確認)
VCSAにSSHで接続し、以下のコマンドを実行してvCenterのPNIDを確認します。
/usr/lib/vmware-vmafd/bin/vmafd-cli get-pnid --server-name localhost
出力された結果(PNID)は後程使うので、メモ帳にコピペしておきます。(※1)
- Certificate Manager による証明書更新(事前準備:stsdの起動)
以下のコマンドを実行し、stsdを手動で起動します。
nohup /usr/lib/vmidentity/install/sts-start-script.sh &
少し長くなってしまいましたので、以降(再生成を行う手順)はその2に続きます。
本日はここまで。
ご参考になれば、幸いです。