【vSphere】vSphereの証明書有効期限の確認方法

5年前 VMware

どうも、Tです。

下記にある通り、vSphereの証明書問題が顕著化しそうで検証しています。バージョンごとに確認方法が違うため混乱しないように備忘録です。

vSphere環境の証明書周りをまとめてみた - 仮想かな。
証明書の管理、してますか? 証明書の有効期限を確認する - VMCA(VMware 認証局)で管理される証明書 vCSA、PSC(vSphere 6.7) vCSA、PSC(vSphere 6.0/6.5) ESXi(vSphere 6.0/6.5/6.7で共通): vSAN環境の場合(vSphere 6.0/6.5/...
kcana.hatenablog.jp

個人的なメモのため、下記の条件付きです。

  • vCenterサーバーはvCSAを利用。(Windows版は考慮なし)
  • PSC分離は考慮しない。

証明書の期限確認は大きく「VMCA管理の証明書」と「STS署名証明書」に分類できます。

確認手順は、「vSphere Client」 「vSphere Web Client」 「 vCSAのコマンドイン」がありますが、バージョンにより使えないものもあります。基本的にはvCSAコマンドラインからの確認方法が一番良いと感じました。(併せてGUIからの確認もした方がよいですが・・・)

スポンサーリンク
アドセンス1

vSphere6.0環境の場合

vSphere Client(C#版)から確認する方法

C#版のvSphere Clientから証明書を確認する方法はりません。

vSphere Web Clientから確認する方法

VMCA(VMware 認証局)管理の証明書

「https://<vCSA IPアドレス or FQDN>/psc/に接続します。

「証明書」->「証明書の管理」画面で認証情報を入力しSubmitします。

マシン証明書が確認できます。

ソリューションユーザー証明書が確認できます。

信頼できるルート証明書が確認できます。

STS(Security Token Service)署名証明書

「https://<vCSA IPアドレス or FQDN>」に接続します。

「管理」->「シングルサインオン」->「構成」->「証明書タブ」->「STS署名」画面で確認できます。

vCSA上のコマンドラインから確認する方法

VMCA(VMware 認証局)管理の証明書

vCSAにSSHでログインし、下記のコマンドを実行します。

for i in $(/usr/lib/vmware-vmafd/bin/vecs-cli store list); do echo STORE $i; /usr/lib/vmware-vmafd/bin/vecs-cli entry list --store $i --text | egrep "Alias|Not After"; done

上記コマンドは、KB76719から引用したものです。動作確認はしましたが、Related Versionsに6.0が含まれていないためサポート範囲外の可能性があります。

"Signing certificate is not valid" or "No healthy upstream" error in vCenter Server Appliance
This article provides steps on regenerating and replacing expired Security Token Service (STS) certificate in VCSA 6.5.x, 6.7.x , 7.0.x and vCenter Server 8.0....
kb.vmware.com

証明書の有効期限が確認できます。

STORE MACHINE_SSL_CERT
Alias : __MACHINE_CERT
Not After : Aug 18 13:59:05 2022 GMT
STORE TRUSTED_ROOTS
Alias : 693e8297fb54537cd0fe824f126e9816bf0dbd52
Not After : Aug 13 01:59:05 2030 GMT
STORE TRUSTED_ROOT_CRLS
Alias : d532fc55cd251f39d76543f7d9f6fd87d31bec65
STORE machine
Alias : machine
Not After : Aug 18 01:50:29 2022 GMT
STORE vsphere-webclient
Alias : vsphere-webclient
Not After : Aug 18 01:50:30 2022 GMT
STORE vpxd
Alias : vpxd
Not After : Aug 18 01:50:31 2022 GMT
STORE vpxd-extension
Alias : vpxd-extension
Not After : Aug 18 01:50:32 2022 GMT
STORE SMS
Alias : sms_self_signed
Not After : Aug 18 02:06:18 2030 GMT

STS(Security Token Service)署名証明書

6.0はコマンドラインから証明書を確認する方法ありません。

vSphere6.5/6.7環境の場合

vSphere Clientから確認する方法

VMCA(VMware 認証局)管理の証明書

「https://<vCSA IPアドレス or FQDN>」に接続します。

「管理」->「証明書」->「証明書の管理」画面で認証情報を入力し「ログインおよび証明書の管理」をクリックします。

「マシン証明書」「ソリューション証明書」「信頼できるルート証明書」が確認できます。

STS(Security Token Service)署名証明書

vSphere Clientから証明書を確認する方法ありません。

vSphere Web Clientから確認する方法

VMCA(VMware 認証局)管理の証明書

「https://<vCSA IPアドレス or FQDN>/psc/に接続します。

6.7は/pscでアクセスすることはできません。vSphere Clientかコマンドラインから確認しましょう。

「Certificates」->「Cirtificate Management」画面で認証情報を入力し「送信」をクリックします。

マシン証明書が確認できます。

ソリューションユーザー証明書が確認できます。

信頼できるルート証明書が確認できます。

STS(Security Token Service)署名証明書

「https://<vCSA IPアドレス or FQDN>」に接続します。

「管理」->「シングルサインオン」->「構成」->「証明書タブ」->「STS署名」画面で確認できます。

vCSA上のコマンドラインから確認する方法

VMCA(VMware 認証局)管理の証明書

vCSAにSSHでログインし、下記のコマンドを実行します。

for i in $(/usr/lib/vmware-vmafd/bin/vecs-cli store list); do echo STORE $i; /usr/lib/vmware-vmafd/bin/vecs-cli entry list --store $i --text | egrep "Alias|Not After"; done

上記コマンドは、KB76719から引用したものです。

"Signing certificate is not valid" or "No healthy upstream" error in vCenter Server Appliance
This article provides steps on regenerating and replacing expired Security Token Service (STS) certificate in VCSA 6.5.x, 6.7.x , 7.0.x and vCenter Server 8.0....
kb.vmware.com

証明書の有効期限が確認できます。

STORE MACHINE_SSL_CERT
Alias : __MACHINE_CERT
Not After : Aug 15 19:20:58 2022 GMT
STORE TRUSTED_ROOTS
Alias : 712a5be6b2f0d0f6b886a26c2343c0e5b47f04d1
Not After : Aug 10 07:20:58 2030 GMT
STORE TRUSTED_ROOT_CRLS
Alias : e5170d1c6c6aac0801e9a338c7f93230176e43b8
STORE machine
Alias : machine
Not After : Aug 15 07:12:18 2022 GMT
STORE vsphere-webclient
Alias : vsphere-webclient
Not After : Aug 15 07:12:18 2022 GMT
STORE vpxd
Alias : vpxd
Not After : Aug 15 07:12:19 2022 GMT
STORE vpxd-extension
Alias : vpxd-extension
Not After : Aug 15 07:12:20 2022 GMT
STORE SMS
Alias : sms_self_signed
Not After : Aug 15 07:47:00 2030 GMT

STS(Security Token Service)署名証明書

KB79248のchecksts.pyをダウンロードし、vCSAにアップロードします。

Checking Expiration of STS Certificate on vCenter Servers
kb.vmware.com

vCSAにSFTP接続するとエラーで接続できません。KB2107727を行ってアップロードをしてください。

Connecting to vCenter Server Virtual Appliance using WinSCP fails with the error: Received too large (1433299822 B) SFTP packet. Max supported packet size is 1024000 B
kb.vmware.com

checksts.pyを実行します。

# python checksts.py

証明書の有効期限が確認できます。

2 VALID CERTS
================

LEAF CERTS:

[] Certificate 23:39:27:DB:C0:72:0E:F3:A2:A2:11:27:1D:06:0E:77:9E:C1:22:26 will expire in 727 days (1.0 years).

ROOT CERTS:

[] Certificate 71:2A:5B:E6:B2:F0:D0:F6:B8:86:A2:6C:23:43:C0:E5:B4:7F:04:D1 will expire in 3644 days (9.0 years).

0 EXPIRED CERTS
================

LEAF CERTS:

None

ROOT CERTS:

None

vSphere7.0環境の場合

vSphere Clientから確認する方法

VMCA(VMware 認証局)管理の証明書

「https://<vCSA IPアドレス or FQDN>」に接続します。

「管理」->「証明書」->「証明書の管理」画面で認証情報を入力し「ログインおよび証明書の管理」をクリックします。

※スクリーンショット取り忘れました・・・・。

「マシン証明書」「信頼できるルート証明書」が確認できます。

「ソリューション証明書」は表示されませんが、7.0でも存在します。おそらく画面上に表示されない不具合と推察しています。コマンドラインからは確認できるため、コマンドラインで確認するようにしましょう。

STS(Security Token Service)署名証明書

7.0はvSphere Clientから証明書を確認する方法がありません。コマンドラインで確認しましょう。

vCSA上のコマンドラインから確認する方法

VMCA(VMware 認証局)管理の証明書の確認

vCSAにSSHでログインし、下記のコマンドを実行します。

for i in $(/usr/lib/vmware-vmafd/bin/vecs-cli store list); do echo STORE $i; /usr/lib/vmware-vmafd/bin/vecs-cli entry list --store $i --text | egrep "Alias|Not After"; done

上記コマンドは、KB76719から引用したものです。

"Signing certificate is not valid" or "No healthy upstream" error in vCenter Server Appliance
This article provides steps on regenerating and replacing expired Security Token Service (STS) certificate in VCSA 6.5.x, 6.7.x , 7.0.x and vCenter Server 8.0....
kb.vmware.com

証明書の有効期限が確認できます。

STORE MACHINE_SSL_CERT
Alias : __MACHINE_CERT
            Not After : Aug 14 20:25:26 2022 GMT
STORE TRUSTED_ROOTS
Alias : c45515fc1c3580f59e9662f8280ab9e413f159b5
            Not After : Aug  9 08:25:25 2030 GMT
STORE TRUSTED_ROOT_CRLS
Alias : b30d270d264e0fed1ddf1574caa2fba1b9e3ad8b
STORE machine
Alias : machine
            Not After : Aug  9 08:25:25 2030 GMT
STORE vsphere-webclient
Alias : vsphere-webclient
            Not After : Aug  9 08:25:25 2030 GMT
STORE vpxd
Alias : vpxd
            Not After : Aug  9 08:25:25 2030 GMT
STORE vpxd-extension
Alias : vpxd-extension
            Not After : Aug  9 08:25:25 2030 GMT
STORE hvc
Alias : hvc
            Not After : Aug  9 08:25:25 2030 GMT
STORE data-encipherment
Alias : data-encipherment
            Not After : Aug  9 08:25:25 2030 GMT
STORE APPLMGMT_PASSWORD
STORE SMS
Alias : sms_self_signed
            Not After : Aug 14 08:33:23 2030 GMT
STORE wcp
Alias : wcp
            Not After : Aug 14 08:25:11 2022 GMT

STS(Security Token Service)署名証明書

KB79248のchecksts.pyをダウンロードし、vCSAにアップロードします。

Checking Expiration of STS Certificate on vCenter Servers
kb.vmware.com

vCSAにSFTP接続するとエラーで接続できません。KB2107727を行ってアップロードをしてください。

Connecting to vCenter Server Virtual Appliance using WinSCP fails with the error: Received too large (1433299822 B) SFTP packet. Max supported packet size is 1024000 B
kb.vmware.com

checksts.pyを実行します。

# python checksts.py

証明書の有効期限が確認できます。

2 VALID CERTS
================

        LEAF CERTS:
        
        [] Certificate 56:02:B8:D2:11:B0:71:3D:88:DD:E2:2F:A2:E4:E6:BC:6B:2B:26:3B will expire in 3647 days (10 years).
        
        ROOT CERTS:
        
        [] Certificate 80:75:43:C1:D3:C1:3A:98:C4:F2:08:6B:98:8E:43:67:D2:76:31:0B will expire in 3647 days (10 years).
        
0 EXPIRED CERTS
================
        LEAF CERTS:
        
        None
        
        ROOT CERTS:
        
        None

まとめ

バージョンによって表記が違ったり、手順が違ったり・・・。なんかもうこれだけで嫌になってくる・・・。

スポンサーリンク
アドセンス1
アドセンス1
ブログランキング・にほんブログ村へ

シェアする

フォローする

, , , 管理人T