仮想かな。

VMware製品を中心に、仮想環境技術についてTipsを投稿しています。twitterもやってます @obamang03

vSphere環境の証明書周りをまとめてみた

 

 

この投稿はvExperts Advent Calendar 2019における18日目の投稿ですm(     )m。

adventar.org

 

証明書の管理、してますか? 

皆さん、証明書はきちんと管理されていらっしゃるでしょうか。

「証明書?あぁ、だいたい10年有効期限があるし、HW保守なんてだいたい7~8年で切れるから気にする頃には環境がリプレイスされてて関係ないでしょ(鼻ホジ」

 ちょっと待ってください。
2017年のCA/Browser Forumで、SSL証明書の最大有効期間は825日(2年3か月)に短くすることが可決されました。
VMCA(VMware 認証局)で発行される証明書も、実はこの採択に追従しています。

  VMware vCenter Server 6.5 Update 2 リリース ノート

  VMware vCenter Server 6.0 Update 3g リリース ノート

VMware 認証局 (CA) 証明書のデフォルト有効期間が 2 年に短縮される
すべての VMware 認証局証明書のデフォルトの有効期間が 10 年から 2 年に短縮されました。
CA/Browser Forum の勧告のとおり、VMware 認証局証明書は 825 日以内に期限切れになります

つまり、、、早ければ2020年はポツポツ証明書が切れ始めてきます。

この記事を読んで、今のうちに対策を進めましょう。

 

 証明書の有効期限を確認する - VMCA(VMware 認証局)で管理される証明書

では早速証明書の有効期限の確認をしましょう。

 

vCSA、PSC(vSphere 6.7)

html5 Client [メニュー] > [管理] > [証明書の管理] へアクセスし、

vCSA/PSC それぞれのFQDN で各アプライアンスで管理している証明書が確認出来ます。

User/passは SSOユーザーです。

vCSA:

f:id:obamang03:20200110172708p:plain

f:id:obamang03:20200110172736p:plain

 

PSC:

f:id:obamang03:20200110172808p:plain

 

f:id:obamang03:20200110172824p:plain

vCSA、PSC(vSphere 6.0/6.5)

  h ttps://<PSCのFQDN>/psc へアクセスし、 [Certificate Management]よりvCSA/PSC それぞれのFQDN で各アプライアンスで管理している証明書が確認出来ます。

本環境は6.5.0-7515524 (U1e)環境なので2年じゃありませんね。

vCSA:

f:id:obamang03:20200110173338p:plain

 

f:id:obamang03:20200110173358p:plain

f:id:obamang03:20200110173409p:plain

f:id:obamang03:20200110173419p:plain

PSC:

f:id:obamang03:20200110173639p:plain

f:id:obamang03:20200110173650p:plain

f:id:obamang03:20200110173700p:plain

f:id:obamang03:20200110173711p:plain

 

ESXi(vSphere 6.0/6.5/6.7で共通):

各ホストの[設定] > [証明書]

f:id:obamang03:20200110175835p:plain

 

vSAN環境の場合(vSphere 6.0/6.5/6.7で共通):

vCenter > [設定] > [ストレージプロバイダ]

f:id:obamang03:20200110180506p:plain

 

 証明書の有効期限を確認する - STS(Security Token Service)証明書

vSphere 6.0/6.5/6.7で共通

web Clinet > [管理] > [Single-Sign On] > [設定] > [証明書] > STS署名

f:id:obamang03:20200110175016p:plain

※操作した限りだとhtml5 Clientからは確認する場所が無かったです(移動した?)

f:id:obamang03:20200110175237p:plain



次回の記事ではそれぞれの更新をためしてみます。


 

参考文献:

 vSphere で証明書を使用する場合

 Security Token Service (STS)