どうも、Tです。
下記にある通り、vSphereの証明書問題が顕著化しそうで検証しています。バージョンごとに確認方法が違うため混乱しないように備忘録です。
個人的なメモのため、下記の条件付きです。
- vCenterサーバーはvCSAを利用。(Windows版は考慮なし)
- PSC分離は考慮しない。
証明書の期限確認は大きく「VMCA管理の証明書」と「STS署名証明書」に分類できます。
確認手順は、「vSphere Client」 「vSphere Web Client」 「 vCSAのコマンドイン」がありますが、バージョンにより使えないものもあります。基本的にはvCSAコマンドラインからの確認方法が一番良いと感じました。(併せてGUIからの確認もした方がよいですが・・・)
目次
vSphere6.0環境の場合
vSphere Client(C#版)から確認する方法
C#版のvSphere Clientから証明書を確認する方法はりません。
vSphere Web Clientから確認する方法
VMCA(VMware 認証局)管理の証明書
「https://<vCSA IPアドレス or FQDN>/psc/」に接続します。
「証明書」->「証明書の管理」画面で認証情報を入力しSubmitします。
マシン証明書が確認できます。
ソリューションユーザー証明書が確認できます。
信頼できるルート証明書が確認できます。
STS(Security Token Service)署名証明書
「https://<vCSA IPアドレス or FQDN>」に接続します。
「管理」->「シングルサインオン」->「構成」->「証明書タブ」->「STS署名」画面で確認できます。
vCSA上のコマンドラインから確認する方法
VMCA(VMware 認証局)管理の証明書
vCSAにSSHでログインし、下記のコマンドを実行します。
for i in $(/usr/lib/vmware-vmafd/bin/vecs-cli store list); do echo STORE $i; /usr/lib/vmware-vmafd/bin/vecs-cli entry list --store $i --text | egrep "Alias|Not After"; done
上記コマンドは、KB76719から引用したものです。動作確認はしましたが、Related Versionsに6.0が含まれていないためサポート範囲外の可能性があります。
証明書の有効期限が確認できます。
STORE MACHINE_SSL_CERT Alias : __MACHINE_CERT Not After : Aug 18 13:59:05 2022 GMT STORE TRUSTED_ROOTS Alias : 693e8297fb54537cd0fe824f126e9816bf0dbd52 Not After : Aug 13 01:59:05 2030 GMT STORE TRUSTED_ROOT_CRLS Alias : d532fc55cd251f39d76543f7d9f6fd87d31bec65 STORE machine Alias : machine Not After : Aug 18 01:50:29 2022 GMT STORE vsphere-webclient Alias : vsphere-webclient Not After : Aug 18 01:50:30 2022 GMT STORE vpxd Alias : vpxd Not After : Aug 18 01:50:31 2022 GMT STORE vpxd-extension Alias : vpxd-extension Not After : Aug 18 01:50:32 2022 GMT STORE SMS Alias : sms_self_signed Not After : Aug 18 02:06:18 2030 GMT
STS(Security Token Service)署名証明書
6.0はコマンドラインから証明書を確認する方法ありません。
vSphere6.5/6.7環境の場合
vSphere Clientから確認する方法
VMCA(VMware 認証局)管理の証明書
「https://<vCSA IPアドレス or FQDN>」に接続します。
「管理」->「証明書」->「証明書の管理」画面で認証情報を入力し「ログインおよび証明書の管理」をクリックします。
「マシン証明書」「ソリューション証明書」「信頼できるルート証明書」が確認できます。
STS(Security Token Service)署名証明書
vSphere Clientから証明書を確認する方法ありません。
vSphere Web Clientから確認する方法
VMCA(VMware 認証局)管理の証明書
「https://<vCSA IPアドレス or FQDN>/psc/」に接続します。
「Certificates」->「Cirtificate Management」画面で認証情報を入力し「送信」をクリックします。
マシン証明書が確認できます。
ソリューションユーザー証明書が確認できます。
信頼できるルート証明書が確認できます。
STS(Security Token Service)署名証明書
「https://<vCSA IPアドレス or FQDN>」に接続します。
「管理」->「シングルサインオン」->「構成」->「証明書タブ」->「STS署名」画面で確認できます。
vCSA上のコマンドラインから確認する方法
VMCA(VMware 認証局)管理の証明書
vCSAにSSHでログインし、下記のコマンドを実行します。
for i in $(/usr/lib/vmware-vmafd/bin/vecs-cli store list); do echo STORE $i; /usr/lib/vmware-vmafd/bin/vecs-cli entry list --store $i --text | egrep "Alias|Not After"; done
上記コマンドは、KB76719から引用したものです。
証明書の有効期限が確認できます。
STORE MACHINE_SSL_CERT Alias : __MACHINE_CERT Not After : Aug 15 19:20:58 2022 GMT STORE TRUSTED_ROOTS Alias : 712a5be6b2f0d0f6b886a26c2343c0e5b47f04d1 Not After : Aug 10 07:20:58 2030 GMT STORE TRUSTED_ROOT_CRLS Alias : e5170d1c6c6aac0801e9a338c7f93230176e43b8 STORE machine Alias : machine Not After : Aug 15 07:12:18 2022 GMT STORE vsphere-webclient Alias : vsphere-webclient Not After : Aug 15 07:12:18 2022 GMT STORE vpxd Alias : vpxd Not After : Aug 15 07:12:19 2022 GMT STORE vpxd-extension Alias : vpxd-extension Not After : Aug 15 07:12:20 2022 GMT STORE SMS Alias : sms_self_signed Not After : Aug 15 07:47:00 2030 GMT
STS(Security Token Service)署名証明書
KB79248のchecksts.pyをダウンロードし、vCSAにアップロードします。
vCSAにSFTP接続するとエラーで接続できません。KB2107727を行ってアップロードをしてください。
checksts.pyを実行します。
# python checksts.py
証明書の有効期限が確認できます。
2 VALID CERTS ================ LEAF CERTS: [] Certificate 23:39:27:DB:C0:72:0E:F3:A2:A2:11:27:1D:06:0E:77:9E:C1:22:26 will expire in 727 days (1.0 years). ROOT CERTS: [] Certificate 71:2A:5B:E6:B2:F0:D0:F6:B8:86:A2:6C:23:43:C0:E5:B4:7F:04:D1 will expire in 3644 days (9.0 years). 0 EXPIRED CERTS ================ LEAF CERTS: None ROOT CERTS: None
vSphere7.0環境の場合
vSphere Clientから確認する方法
VMCA(VMware 認証局)管理の証明書
「https://<vCSA IPアドレス or FQDN>」に接続します。
「管理」->「証明書」->「証明書の管理」画面で認証情報を入力し「ログインおよび証明書の管理」をクリックします。
※スクリーンショット取り忘れました・・・・。
「マシン証明書」「信頼できるルート証明書」が確認できます。
STS(Security Token Service)署名証明書
7.0はvSphere Clientから証明書を確認する方法がありません。コマンドラインで確認しましょう。
vCSA上のコマンドラインから確認する方法
VMCA(VMware 認証局)管理の証明書の確認
vCSAにSSHでログインし、下記のコマンドを実行します。
for i in $(/usr/lib/vmware-vmafd/bin/vecs-cli store list); do echo STORE $i; /usr/lib/vmware-vmafd/bin/vecs-cli entry list --store $i --text | egrep "Alias|Not After"; done
上記コマンドは、KB76719から引用したものです。
証明書の有効期限が確認できます。
STORE MACHINE_SSL_CERT
Alias : __MACHINE_CERT
Not After : Aug 14 20:25:26 2022 GMT
STORE TRUSTED_ROOTS
Alias : c45515fc1c3580f59e9662f8280ab9e413f159b5
Not After : Aug 9 08:25:25 2030 GMT
STORE TRUSTED_ROOT_CRLS
Alias : b30d270d264e0fed1ddf1574caa2fba1b9e3ad8b
STORE machine
Alias : machine
Not After : Aug 9 08:25:25 2030 GMT
STORE vsphere-webclient
Alias : vsphere-webclient
Not After : Aug 9 08:25:25 2030 GMT
STORE vpxd
Alias : vpxd
Not After : Aug 9 08:25:25 2030 GMT
STORE vpxd-extension
Alias : vpxd-extension
Not After : Aug 9 08:25:25 2030 GMT
STORE hvc
Alias : hvc
Not After : Aug 9 08:25:25 2030 GMT
STORE data-encipherment
Alias : data-encipherment
Not After : Aug 9 08:25:25 2030 GMT
STORE APPLMGMT_PASSWORD
STORE SMS
Alias : sms_self_signed
Not After : Aug 14 08:33:23 2030 GMT
STORE wcp
Alias : wcp
Not After : Aug 14 08:25:11 2022 GMT
STS(Security Token Service)署名証明書
KB79248のchecksts.pyをダウンロードし、vCSAにアップロードします。
vCSAにSFTP接続するとエラーで接続できません。KB2107727を行ってアップロードをしてください。
checksts.pyを実行します。
# python checksts.py
証明書の有効期限が確認できます。
2 VALID CERTS
================
LEAF CERTS:
[] Certificate 56:02:B8:D2:11:B0:71:3D:88:DD:E2:2F:A2:E4:E6:BC:6B:2B:26:3B will expire in 3647 days (10 years).
ROOT CERTS:
[] Certificate 80:75:43:C1:D3:C1:3A:98:C4:F2:08:6B:98:8E:43:67:D2:76:31:0B will expire in 3647 days (10 years).
0 EXPIRED CERTS
================
LEAF CERTS:
None
ROOT CERTS:
None
まとめ
バージョンによって表記が違ったり、手順が違ったり・・・。なんかもうこれだけで嫌になってくる・・・。