vSphere環境の証明書周りをまとめてみた
- 証明書の管理、してますか?
- 証明書の有効期限を確認する - VMCA(VMware 認証局)で管理される証明書
- 証明書の有効期限を確認する - STS(Security Token Service)証明書
この投稿はvExperts Advent Calendar 2019における18日目の投稿ですm( )m。
証明書の管理、してますか?
皆さん、証明書はきちんと管理されていらっしゃるでしょうか。
「証明書?あぁ、だいたい10年有効期限があるし、HW保守なんてだいたい7~8年で切れるから気にする頃には環境がリプレイスされてて関係ないでしょ(鼻ホジ」
ちょっと待ってください。
2017年のCA/Browser Forumで、SSL証明書の最大有効期間は825日(2年3か月)に短くすることが可決されました。
VMCA(VMware 認証局)で発行される証明書も、実はこの採択に追従しています。
VMware vCenter Server 6.5 Update 2 リリース ノート
VMware vCenter Server 6.0 Update 3g リリース ノート
VMware 認証局 (CA) 証明書のデフォルト有効期間が 2 年に短縮される
すべての VMware 認証局証明書のデフォルトの有効期間が 10 年から 2 年に短縮されました。
CA/Browser Forum の勧告のとおり、VMware 認証局証明書は 825 日以内に期限切れになります
つまり、、、早ければ2020年はポツポツ証明書が切れ始めてきます。
この記事を読んで、今のうちに対策を進めましょう。
証明書の有効期限を確認する - VMCA(VMware 認証局)で管理される証明書
では早速証明書の有効期限の確認をしましょう。
vCSA、PSC(vSphere 6.7)
html5 Client [メニュー] > [管理] > [証明書の管理] へアクセスし、
vCSA/PSC それぞれのFQDN で各アプライアンスで管理している証明書が確認出来ます。
User/passは SSOユーザーです。
vCSA:
PSC:
vCSA、PSC(vSphere 6.0/6.5)
h ttps://<PSCのFQDN>/psc へアクセスし、 [Certificate Management]よりvCSA/PSC それぞれのFQDN で各アプライアンスで管理している証明書が確認出来ます。
本環境は6.5.0-7515524 (U1e)環境なので2年じゃありませんね。
vCSA:
PSC:
ESXi(vSphere 6.0/6.5/6.7で共通):
各ホストの[設定] > [証明書]
vSAN環境の場合(vSphere 6.0/6.5/6.7で共通):
vCenter > [設定] > [ストレージプロバイダ]
証明書の有効期限を確認する - STS(Security Token Service)証明書
vSphere 6.0/6.5/6.7で共通
web Clinet > [管理] > [Single-Sign On] > [設定] > [証明書] > STS署名
※操作した限りだとhtml5 Clientからは確認する場所が無かったです(移動した?)
次回の記事ではそれぞれの更新をためしてみます。
参考文献: