Operational Defect Database
BugZero updated this defect 56 days ago.
Data sources
All data on this page is proprietary to BugZero® or gathered from public sources
VMware | 97150
VMware Endpoint Certificate Store for vSphere 6.x および 7.x での証明書の手動確認
Last update date:
3/25/2024
Affected products:
vCenter Server
Affected releases:
7.0
Fixed releases:
No fixed releases provided.
Description:
Symptoms
免責事項:これは英文の記事「Manually reviewing certificates in VMware Endpoint Certificate Store for vSphere 6.x and 7.x (2111411)」の日本語訳です。記事はベストエフォートで翻訳を進めているため、ローカライズ化コンテンツは最新情報ではない可能性があります。最新情報は英語版の記事で参照してください。
Purpose
この記事には、vSphere 6.0 および 7.x 環境での認証局 (CA) 署名付き SSL 証明書の手動確認に関する情報が記載されています。vSphere 6.0 および 7.x では、VMware Certificate Authority (VMCA) によって生成された証明書を vSphere Web Client 経由で監視することができます。詳細については、「vSphere Web Clientでの vCenter 証明書の表示 」を参照してください。ただし、独自のプライベート キー インフラストラクチャ (PKI) を使用している場合は、独自の証明書の有効性を管理する必要があります。 この記事では、vSphere によって使用される個別のキーストアを参照するだけでなく、vecs-cli を使用して VMware Endpoint 証明書ストア (VECS) に格納されている証明書を一覧表示します。 続行する前に以下の項目を確認して、理解しておいてください。 「vecs-cli コマンド リファレンス 」「vSphere で証明書を使用する場合」
Resolution
Windows 用に格納された証明書の確認vCenter Server Appliance 用に格納された証明書の確認Windows 用に格納された証明書のエクスポートvCenter Server Appliance 用に格納された証明書のエクスポート Windows 用に格納された証明書の確認 : 注:次の手順は、Windows の C:\ ドライブのデフォルトのインストール パスを使用して記載されています。デフォルト以外のインストール パスを使用している場合、次の手順を変更する必要があります。 管理者特権でのコマンド プロンプトを開きます。管理者権限のコマンド プロンプトが使用されていない場合、エントリ リスト コマンドは次の Win エラーで失敗します:access is denied。次のコマンドを実行して、VECS 内に格納されているすべてのキーストアを一覧表示します。次のコマンドは、vCenter Server または Platform Services Controller から実行可能です。 "C:\Program Files\VMware\vCenter Server\vmafdd\"vecs-cli store list これにより、このコマンドが実行されるノードに応じて、これらのリストのいずれかが出力されます。 外部 Platform Services Controller の場合: MACHINE_SSL_CERT TRUSTED_ROOTS TRUSTED_ROOT_CRLS machine 外部 Platform Services Controller がある、または Platform Services Controller が埋め込まれている vCenter Server の場合: MACHINE_SSL_CERT TRUSTED_ROOTS TRUSTED_ROOT_CRLS machine vpxd vpxd-extension vsphere-webclient SMS個別のキーストアを確認するには、次の例を使用して、格納されている証明書を一覧表示します。 "C:\Program Files\VMware\vCenter Server\vmafdd\"vecs-cli entry list --store TRUSTED_ROOTS --text | more "C:\Program Files\VMware\vCenter Server\vmafdd\"vecs-cli entry list --store MACHINE_SSL_CERT --text | more "C:\Program Files\VMware\vCenter Server\vmafdd\"vecs-cli entry list --store machine --text | more "C:\Program Files\VMware\vCenter Server\vmafdd\"vecs-cli entry list --store vpxd --text | more "C:\Program Files\VMware\vCenter Server\vmafdd\"vecs-cli entry list --store vpxd-extension --text | more "C:\Program Files\VMware\vCenter Server\vmafdd\"vecs-cli entry list --store vsphere-webclient --text | more "C:\Program Files\VMware\vCenter Server\vmafdd\"vecs-cli entry list --store SMS --text | more "C:\Program Files\VMware\vCenter Server\vmafdd\"vecs-cli entry list --store TRUSTED_ROOT_CRLS --text | more 注: セッションを終了するには、q キーを押します。 表示される証明書を確認します。 注: MACHINES_SSL_CERT またはソリューション ユーザー ストアを確認する際には、X509v3 拡張、特にキー使用法、有効性、サブジェクトの代替名をメモします。vSphere 6.0 にアップグレードした場合、以前 vCenter Server で使用された証明書は MACHINE_SSL_CERT となります。TRUSTED_ROOTS ストアを確認する際には、X509v3 拡張、特にキー使用法証明書署名、有効性をメモします。証明書署名キー使用法がない場合、VMCA は証明書の署名およびプロビジョニングを行うことができないため、インストールおよび証明書再生成のエラーが発生します。vCenter の Build によっては、状況に応じて下記のストアがある場合があります。上記で説明した vecs-cli コマンドを使用して、これらのストアに保存された証明書をリストしてください。 BACKUP_STOREdata-enciphermentKMS_ENCRYPTION vCenter Server Appliance 用に格納された証明書の確認 : vCenter Server Appliance への SSH セッションを開きます。Root でログインします。次のコマンドを使用して、BASH シェル セッションの使用に切り替えます。 shell.set --enabled true shell 次のコマンドを実行して、VECS 内に格納されているすべてのキーストアを一覧表示します。次のコマンドは、vCenter Server または Platform Services Controller から実行可能です。 /usr/lib/vmware-vmafd/bin/vecs-cli store list これにより、このコマンドが実行されるノードに応じて、次のリストのいずれかが出力されます。 外部 Platform Services Controller: MACHINE_SSL_CERT TRUSTED_ROOTS TRUSTED_ROOT_CRLS machine 外部 Platform Services Controller がある、または Platform Services Controller が埋め込まれている vCenter Server Appliance: MACHINE_SSL_CERT TRUSTED_ROOTS TRUSTED_ROOT_CRLS machine vpxd vpxd-extension vsphere-webclient SMS個別のキーストアを確認するため、次の例を使用して、格納されている証明書を一覧表示します。 /usr/lib/vmware-vmafd/bin/vecs-cli entry list --store TRUSTED_ROOTS --text | less /usr/lib/vmware-vmafd/bin/vecs-cli entry list --store MACHINE_SSL_CERT --text | less /usr/lib/vmware-vmafd/bin/vecs-cli entry list --store machine --text | less /usr/lib/vmware-vmafd/bin/vecs-cli entry list --store vpxd --text | less /usr/lib/vmware-vmafd/bin/vecs-cli entry list --store vpxd-extension --text | less /usr/lib/vmware-vmafd/bin/vecs-cli entry list --store vsphere-webclient --text | less /usr/lib/vmware-vmafd/bin/vecs-cli entry list --store SMS --text | less /usr/lib/vmware-vmafd/bin/vecs-cli entry list --store TRUSTED_ROOT_CRLS --text | less 注: セッションを終了するには、q キーを押します。 表示される証明書を確認します。 注: MACHINES_SSL_CERT またはソリューション ユーザー ストアを確認する際には、X509v3 拡張、特にキー使用法、有効性、サブジェクトの代替名をメモします。vSphere 6.0 にアップグレードした場合、vCenter Server に前に使用された証明書は現在 MACHINE_SSL_CERT となります。TRUSTED_ROOTS ストアを確認する際には、X509v3 拡張、特にキー使用法証明書署名、有効性をメモします。証明書署名キー使用法がない場合、VMCA は証明書の署名およびプロビジョニングを行うことができないため、インストールおよび証明書再生成のエラーが発生します。vCenter の Build によっては、状況に応じて下記のストアがある場合があります。上記で説明した vecs-cli コマンドを使用して、これらのストアに保存された証明書をリストしてください。 BACKUP_STOREdata-enciphermentKMS_ENCRYPTION Windows 用に格納された証明書のエクスポート : 注:次の手順は、Windows の C:\ ドライブのデフォルト インストール パスを使用して記載されています。デフォルト以外のインストール パスを使用している場合、次の手順を変更する必要があります。 管理者特権でのコマンド プロンプトを開きます。管理者権限のコマンド プロンプトが使用されていない場合、エントリ リスト コマンドは次の Win エラーで失敗します:access is denied。次のコマンドを実行して、VECS 内に格納されているすべてのキーストアを一覧表示します。次のコマンドは、vCenter Server または Platform Services Controller から実行可能です。 "%VMWARE_CIS_HOME%"\vmafdd\vecs-cli entry getcert --store <stored name> --alias <alias name> --output c:\certificate\<certificate usage name>.crt "%VMWARE_CIS_HOME%"\vmafdd\vecs-cli entry getkey --store <stored name> --alias <stored name> --output c:\certificate\<certificate usage name>.key このコマンドが実行されるノードに応じて、次のストアのペアのいずれかを出力できます。 外部 Platform Services Controller の場合: MACHINE_SSL_CERT TRUSTED_ROOTS TRUSTED_ROOT_CRLS machine 外部 Platform Services Controller がある、または Platform Services Controller が埋め込まれている vCenter Server の場合: MACHINE_SSL_CERT TRUSTED_ROOTS TRUSTED_ROOT_CRLS machine vpxd vpxd-extension vsphere-webclient SMS個別のキーストアを確認するには、次の例を使用して、格納されている証明書を一覧表示します。 "%VMWARE_CIS_HOME%"\vmafdd\vecs-cli entry getcert --store MACHINE_SSL_CERT --alias __MACHINE_CERT --output c:\certificates\machine_ssl.crt "%VMWARE_CIS_HOME%"\vmafdd\vecs-cli entry getkey --store MACHINE_SSL_CERT --alias __MACHINE_CERT --output c:\certificates\machine_ssl.key "%VMWARE_CIS_HOME%"\vmafdd\vecs-cli entry getcert --store vpxd-extension --alias vpxd-extension --output c:\certificates\vpxd-extension.crt "%VMWARE_CIS_HOME%"\vmafdd\vecs-cli entry getkey --store vpxd-extension --alias vpxd-extension --output c:\certificates\vpxd-extension.key "%VMWARE_CIS_HOME%"\vmafdd\vecs-cli entry getcert --store vpxd --alias vpxd --output c:\certificates\vpxd.crt "%VMWARE_CIS_HOME%"\vmafdd\vecs-cli entry getkey --store vpxd --alias vpxd --output c:\certificates\vpxd.key "%VMWARE_CIS_HOME%"\vmafdd\vecs-cli entry getcert --store machine --alias machine --output c:\certificates\machine.crt "%VMWARE_CIS_HOME%"\vmafdd\vecs-cli entry getkey --store machine --alias machine --output c:\certificates\machine.key "%VMWARE_CIS_HOME%"\vmafdd\vecs-cli entry getcert --store vsphere-webclient --alias vsphere-webclient --output c:\certificates\vsphere-webclient.crt "%VMWARE_CIS_HOME%"\vmafdd\vecs-cli entry getkey --store vsphere-webclient --alias vsphere-webclient --output c:\certificates\vsphere-webclient.key vCenter Server Appliance 用に格納された証明書のエクスポート : vCenter Server Appliance への SSH セッションを開きます。Root でログインします。次のコマンドを使用して、BASH シェル セッションの使用に切り替えます。 shell.set --enabled true shell "mkdir /certificate" コマンドを実行し、エクスポート用ディレクトリを作成します。次のコマンドを実行して、VECS 内に格納されているキーと証明書のペアを 1 つずつエクスポートします。次のコマンドは、vCenter Server または Platform Services Controller から実行可能です。 /usr/lib/vmware-vmafd/bin/vecs-cli entry getcert --store <stored name> --alias <alias name> --output /certificate/<certificate usage name>.crt /usr/lib/vmware-vmafd/bin/vecs-cli entry getkey --store <stored name> --alias <stored name> --output /certificate/<certificate usage name>.key このコマンドが実行されるノードに応じて、次のストアのペアのいずれかを出力できます。 外部 Platform Services Controller: MACHINE_SSL_CERT TRUSTED_ROOTS TRUSTED_ROOT_CRLS machine 外部 Platform Services Controller がある、または Platform Services Controller が埋め込まれている vCenter Server Appliance: MACHINE_SSL_CERT TRUSTED_ROOTS TRUSTED_ROOT_CRLS machine vpxd vpxd-extension vsphere-webclient SMS例として、次のコマンドを使用して、格納されているペアをエクスポートします。 /usr/lib/vmware-vmafd/bin/vecs-cli entry getcert --store MACHINE_SSL_CERT --alias __MACHINE_CERT --output /certificate/Machine_SSL.crt /usr/lib/vmware-vmafd/bin/vecs-cli entry getkey --store MACHINE_SSL_CERT --alias __MACHINE_CERT --output /certificate/Machine_SSL.key /usr/lib/vmware-vmafd/bin/vecs-cli entry getcert --store vpxd-extension --alias vpxd-extension --output /certificate/vpxd-extension.crt /usr/lib/vmware-vmafd/bin/vecs-cli entry getkey --store vpxd-extension --alias vpxd-extension --output /certificate/vpxd-extension.key /usr/lib/vmware-vmafd/bin/vecs-cli entry getcert --store vpxd --alias vpxd --output /certificate/vpxd.crt /usr/lib/vmware-vmafd/bin/vecs-cli entry getkey --store vpxd --alias vpxd --output /certificate/vpxd.key /usr/lib/vmware-vmafd/bin/vecs-cli entry getcert --store machine --alias machine --output /certificate/machine.crt /usr/lib/vmware-vmafd/bin/vecs-cli entry getkey --store machine --alias machine --output /certificate/machine.key /usr/lib/vmware-vmafd/bin/vecs-cli entry getcert --store vsphere-webclient --alias vsphere-webclient --output /certificate/vsphere-webclient.crt /usr/lib/vmware-vmafd/bin/vecs-cli entry getkey --store vsphere-webclient --alias vsphere-webclient --output /certificate/vsphere-webclient.key
Related Information
VMware Skyline Health Diagnostics for vSphere - FAQ (81931)"Error in creating a new entry for __MACHINE_CERT in VECS Store MACHINE_SSL_CERT", Certificate Replacement with Custom Certificate fails on 6.x/7.x (70777)"Operation failed with error ERROR_INVALID_PARAMETER (87)" & "Failed to get vecs users and permissions" while upgrading from vCSA 6.5U2d to 6.7U1 (59508)"Unable to enumerate and validate the root certificates from the TRUSTED_ROOTS VECS store" pre-upgrade check error while upgrading to VC 6.7 (70902)"VasaServiceException: org.apache.axis2.AxisFault: certificate has expired", SMS Certificate Expiry Alarm after upgrading vCenter Server from 5.x to 6.x (2120105)How to replace the vSphere 6.0 Solution User certs with VMCA issued certs (2112281) VMware の証明書の更新については、以下を参照してください。 Replacing the vSphere 6.0 Machine SSL certificate with a VMware Certificate Authority issued certificate (2112279)
