【vSphere7.0u2】ESXiホストの証明書はどうなったのか

どうも、Tです。

vcsaを中心に証明書の確認をしましたが、ESXiホスト証明書について確認します。

【vSphere7.0u2】証明書の有効期限はどうなったのか。マシンSSL証明書が切れるとどうなるか。
どうも、Tです。 過去にvSphereの証明書問題で有効期限を調べてまとめました。vSphere7はどうなるのか気になったので...

検証目的

ESXiホストに保存されている証明書の有効期限について確認します。

ESXiホスト証明書は、VMCAにより配布(プロビジョニング)されます。

https://docs.vmware.com/jp/VMware-vSphere/7.0/com.vmware.vsphere.security.doc/GUID-32AD28E1-53C3-48E6-96A9-FD9E4015D0B2.html

VMware Certificate Authority (VMCA) により、VMCA をデフォルトでルート認証局とする署名証明書を使用して、新しい各 ESXi ホストをプロビジョニングします。

インストール メディアから ESXi ホストを起動する場合、そのホストには初めに生成された証明書があります。ホストを vCenter Server システムに追加すると、そのホストは、ルート CA としての VMCA によって署名された証明書を使用してプロビジョニングされます。

検証環境

下記の環境を利用します。

【vSphere7.0u2】証明書の有効期限はどうなったのか。マシンSSL証明書が切れるとどうなるか。
どうも、Tです。 過去にvSphereの証明書問題で有効期限を調べてまとめました。vSphere7はどうなるのか気になったので...
  • vCenterServer:7.0.2 17958471
  • vSphere ESXi: 7.0.2 17867351

今回は、新規インストールしたtestesxi005で確認していきます。

ESXiインストール後のESXi証明書

インストール直後、vCenter追加前のESXiホスト証明書を確認します。

ESXiホスト単体で確認方法(Host Client)

「管理」->「セキュリティとユーザー権限」->「証明書」画面から確認できます。

vCenterに追加する前は、2年になっています。

ESXiホスト単体で確認方法(コマンド)

openssl x509 -noout -in /etc/vmware/ssl/rui.crt -enddate
Determining expired SSL certificates in vCenter Server and ESXi 6.x and 7.0.x

vCenterに追加後のESXi証明書

vCenterに追加した後のESXiホスト証明を確認します。

ESXiホスト単体で確認方法

vSphere Clientの「ホスト」->「設定」->「証明書」画面から確認できます。

vCenterに追加するとVMCAからプロビジョニングされた証明書で、vCenter追加時点から5年間有効の証明書になります。

単一の ESXi ホスト用証明書の詳細の表示
ESXi 6.0 以降のホストで、VMCA モードまたはカスタム モードの場合は、vSphere Client で証明書の詳細を表示できます。証明書に関する情報は、デバッグなどに役立ちます。

Host Clientから確認しなおすとこちらもちゃんと5年に伸びています。

全てのホストの証明書の確認方法

vCenterに追加されたすべてのホストの証明書を一覧で確認することもできます。

vSphereClientの「vCenterオブジェクト」->「ホストおよびクラスタ」->「ホスト」->「カラムの」->「∨」->「列の表示.非表示」から「証明書の有効期限の終了日」にチェックを入れます。

各ホストのESXiホスト証明書の有効期限が確認できます。

複数の ESXiホストの証明書有効期限情報の表示
ESXi6.0 以降を使用している場合は、vCenter Server システムで管理しているすべてのホストの証明書ステータスを表示できます。表示される情報により、間もなく期限切れになる証明書があるかどうかを判断できます。

まとめ

ESXiホスト証明書は、把握していた限り今までと変わらなさそうです。(割と依然から5年だったはず)

しかし、vSphereをマジマジと調べると、いろんなところに証明書が使われてるなぁ