OPERATIONAL DEFECT DATABASE
...
...
証明書のステータスについてのアラームが vSphere Client または vSphere Web Client に表示される Alarm alarm.CertificateStatusAlarmThere are certificate that expired or about to expire VPXD ログに次のエントリが記録される 2019-05-20T16:22:47.739Z warning vpxd[30469] [Originator@6876 sub=Main opID=CheckCertificateExpiry-57e82b11] Certificate [Subject: <Certificate Subject>] from store <VECS Store Name> will expire on 2019-07-14 19:44:56.0002019-05-20T16:22:47.750Z warning vpxd[30469] [Originator@6876 sub=Main opID=CheckCertificateExpiry-57e82b11] Certificate [Subject: <Certificate Subject>] from store <VECS Store Name> will expire on 2019-07-14 19:44:56.000ログの場所:Windows vCenter Server - %ProgramData%\VMware\vCenter Server\logs\vmware-vpx/vpxd-*.logVCSA - /var/log/vmware/vpxd/vpxd.log注:前述のログの引用は単なる例です。日付、時間、および環境変数は、環境によって異なる場合があります。
この記事は、期限切れの証明書と期限切れの近い証明書を特定することで証明書のステータス エラーを解決する方法と、証明書の置き換えについての適切な記事へのリンクを提供します。
vCenter Server では、VMware Endpoint Certificate Store のすべての証明書を監視します。証明書の期限が近づいている場合は、VMware vCenter Server 内の証明書のステータス アラームがトリガされます。証明書のステータス アラームの設定は、次の VMware vCenter Server 詳細設定を使用して構成できます。 vpxd.cert.thresholdvpxd.certmgmt.certs.hardThresholdvpxd.certmgmt.certs.pollIntervalDays
このアラームが発生したら、VMware Endpoint Certificate Store の各キーストア内で証明書の有効期限値を確認し、どの証明書が有効期限に近づいているのか、またはすでに期限が切れているかを特定します。 「VMware Endpoint Certificate Store for vSphere 6.x での証明書の手動確認 」の「格納された証明書の確認」セクションに従います。次のいずれかのオプションを実行して、VMware Endpoint Certificate Store で期限切れの証明書また期限切れの近い証明書が特定された場所に基づいて、証明書を削除します。 期限切れ/期限切れの近い STS/署名証明書の場合: vCenter Server で STS 証明書の有効期限を確認する「署名証明書が有効ではありません (Signing certificate is not valid)」 - vCenter Server Appliance 6.5/6.7 でシェル スクリプトを使用して期限切れの STS 証明書を再生成および置換する 「署名証明書が有効ではありません (Signing certificate is not valid)」 - Windows にインストールされた vCenter Server 6.5/6.7 で PowerShell スクリプトを使用して期限切れの STS 証明書を再生成および置換する 注:STS/署名証明書は VECS Store に格納されないため、vCenter Server アラームの対象となりません。この証明書を確認するには、VECS Store に格納されているその他の証明書の置き換えを続行する前に、上記の手順に従います。STS 証明書がすでに期限切れの場合、これらの証明書の置き換えは失敗します。MACHINE_SSL_CERT VECS Store の期限切れ/期限切れの近い証明書の場合: vSphere 6.x におけるデフォルト証明書の CA 署名付き SSL 証明書への置き換えvSphere 6.x マシン SSL 証明書をカスタム認証局の署名付き証明書と置き換えるvSphere 6.0 マシン SSL 証明書を VMware 認証局によって発行された証明書に置き換える ソリューション ユーザー (machine/vsphere-webclient/vpxd/vpxd-extension VECS Stores) の場合 vSphere 6.x におけるデフォルト証明書の CA 署名付き SSL 証明書への置き換えvSphere 6.0 ソリューション ユーザー証明書を CA 署名証明書に置き換える方法vSphere 6.0 ソリューション ユーザー証明書を VMware 認証局によって発行された証明書に置き換える SMS VECS Store の期限切れ/期限切れの近い証明書の場合: "vCenter Server を 5.x から 6.x にアップグレードすると証明書の有効期限のアラームが表示される TRUSTED_ROOTS VECS Store の期限切れ/期限切れの近い証明書の場合: VMware エンドポイント証明書ストア(VECS)の TRUSTED_ROOTS ストアから期限切れの CA 証明書を削除します BACKUP_STORE VECS Store の期限切れ/期限切れの近い証明書の場合: 次のコマンドを実行し、期限切れの証明書のエイリアスを特定します /usr/lib/vmware-vmafd/bin/vecs-cli entry list --store BACKUP_STORE --text 証明書をバックアップ コピーとしてエクスポートします /usr/lib/vmware-vmafd/bin/vecs-cli entry getcert --store BACKUP_STORE --alias <Alias Name> --output <output folder>例: - /usr/lib/vmware-vmafd/bin/vecs-cli entry getcert --store BACKUP_STORE --alias bkp___MACHINE_CERT --output /certificates/old_machine.crt 期限切れの証明書を VECS Store から削除します /usr/lib/vmware-vmafd/bin/vecs-cli entry delete --store BACKUP_STORE --alias <Alias Name> -y例 - /usr/lib/vmware-vmafd/bin/vecs-cli entry delete --store BACKUP_STORE --alias bkp___MACHINE_CERT -y注:証明書がサードパーティ ソリューションの一部である場合は、サードパーティ ベンダーと協力してソリューションの証明書をアップグレードすることをお勧めします。
vCenter Server の SSL 証明書を置き換えた後の外部ソリューションの更新
Click on a version to see all relevant bugs
VMware Integration
Learn more about where this data comes from
Bug Scrub Advisor
Streamline upgrades with automated vendor bug scrubs
BugZero Enterprise
Wish you caught this bug sooner? Get proactive today.
