仕事で vCenter の証明書更新について調べる機会があった。
定期的に必要な作業ではあるものの、
実際に対応する段階になると「どこまで影響があるのか」で少し構えてしまう作業でもある。
今回は、実際に調べた内容をもとに、
自分用の整理メモも兼ねて、証明書更新のポイントと手順をまとめておく。
調べることになったきっかけ
きっかけは、
vCenter の証明書有効期限が近づいているという指摘だった。
証明書が期限切れになると、
- vSphere Client に接続できなくなる
- NSX などの連携製品でエラーが発生する
といった影響が出る可能性があるため、
事前に状況を整理しておく必要があった。
最初に確認したポイント
調査の最初に整理したのは、以下の点。
- vCenter のバージョン
- 証明書の管理方式(VMCA 管理か、外部 CA か)
- 更新対象となる証明書の種類
- NSX などの連携製品の有無
- 作業前のバックアップ取得可否
ここを把握していないと、
ネット上の手順をそのまま使えないケースが多いと感じた。
また、なかなか同様の作業の記事をネットで見つけられなかったためBroadcomのサポートにも確認して手順や疑問点を確認した。
今回想定した更新方法
今回の環境では、
VMCA 管理下のマシンSSL証明書を vSphere Client から更新する方法を想定した。
Web UI から完結できるため、
比較的分かりやすい更新方法だが、
更新後の確認作業が重要になる。
手順についてはBroadcomに問い合わせをして確認した内容となっている。
vCenter 証明書更新の手順(確認メモ)
実際に確認した手順は以下となる。
期間については設定できる最大の期間にしている。
- vCenter(vSphere) にログイン
- 左上メニューから [管理] を選択
- [証明書]→[証明書の管理] を開く
- [マシンSSL証明書] の
[アクション]→[更新] を選択 - 「期間を日数で指定」が 730 日 (最大日時)になっていることを確認
- 「バックアップの確認」にチェックを入れて更新を実行
手順自体はシンプルだが、
更新後の影響確認を忘れないようにしたい。
証明書更新後の注意点:NSX との再連携
vCenter を NSX と連携している環境では、
証明書更新後に NSX 側で vCenter の再連携が必要になる場合がある。
証明書が更新されると、
vCenter の サムプリント(fingerprint) が変更されるため、
NSX 側で登録している情報と不整合が起きることがある。
そのため、証明書更新後は
NSX との接続状態もあわせて確認しておく必要がある。
NSX 再連携の手順(確認メモ)
① vCenter 側でサムプリントを取得
vCenter に SSH 接続し、
以下のコマンドで SHA-256 サムプリント を取得する。
openssl s_client -connect <vCenterのFQDN>:443 < /dev/null 2>/dev/null | openssl x509 -noout -fingerprint -sha256
表示されたサムプリントは、
後続の NSX 設定で使用する。
② NSX 側で vCenter の再設定
- NSX Manager にログイン
- [システム]→[ファブリック]→[コンピュートマネージャー] を開く
- 対象の vCenter を選択し [編集]
- vCenter 側で取得した
SHA-256 サムプリント を入力 - 設定を保存し、接続状態を確認
NSX 連携環境では、
この作業を忘れると後続の処理でエラーが出る可能性がある。
調べていて感じたこと
今回あらためて感じたのは、
証明書更新は 作業そのものより事前確認が重要 という点。
- 管理方式を把握する
- 連携製品を洗い出す
- 更新後の影響範囲を想定する
これらを先に整理しておくだけで、
作業時の不安はかなり減ると思う。
まとめ
vCenter の証明書更新は、
頻繁に行う作業ではないからこそ、
毎回調べ直すことになりがちだ。
今回まとめた内容は、
次回対応するときの自分を助けるためのメモでもある。
同じように証明書更新や NSX 連携で調べている人の
参考になれば幸いだ。
コメント