どうも、Tです。
vcsaを中心に証明書の確認をしましたが、ESXiホスト証明書について確認します。
目次
検証目的
ESXiホストに保存されている証明書の有効期限について確認します。
ESXiホスト証明書は、VMCAにより配布(プロビジョニング)されます。
VMware Certificate Authority (VMCA) により、VMCA をデフォルトでルート認証局とする署名証明書を使用して、新しい各 ESXi ホストをプロビジョニングします。
インストール メディアから ESXi ホストを起動する場合、そのホストには初めに生成された証明書があります。ホストを vCenter Server システムに追加すると、そのホストは、ルート CA としての VMCA によって署名された証明書を使用してプロビジョニングされます。
検証環境
下記の環境を利用します。
- vCenterServer:7.0.2 17958471
- vSphere ESXi: 7.0.2 17867351
今回は、新規インストールしたtestesxi005で確認していきます。
ESXiインストール後のESXi証明書
インストール直後、vCenter追加前のESXiホスト証明書を確認します。
ESXiホスト単体で確認方法(Host Client)
「管理」->「セキュリティとユーザー権限」->「証明書」画面から確認できます。
vCenterに追加する前は、2年になっています。
ESXiホスト単体で確認方法(コマンド)
openssl x509 -noout -in /etc/vmware/ssl/rui.crt -enddate
vCenterに追加後のESXi証明書
vCenterに追加した後のESXiホスト証明を確認します。
ESXiホスト単体で確認方法
vSphere Clientの「ホスト」->「設定」->「証明書」画面から確認できます。
vCenterに追加するとVMCAからプロビジョニングされた証明書で、vCenter追加時点から5年間有効の証明書になります。
Host Clientから確認しなおすとこちらもちゃんと5年に伸びています。
全てのホストの証明書の確認方法
vCenterに追加されたすべてのホストの証明書を一覧で確認することもできます。
vSphereClientの「vCenterオブジェクト」->「ホストおよびクラスタ」->「ホスト」->「カラムの」->「∨」->「列の表示.非表示」から「証明書の有効期限の終了日」にチェックを入れます。
各ホストのESXiホスト証明書の有効期限が確認できます。
まとめ
ESXiホスト証明書は、把握していた限り今までと変わらなさそうです。(割と依然から5年だったはず)
しかし、vSphereをマジマジと調べると、いろんなところに証明書が使われてるなぁ