vCenterServer6 STS証明書の有効期限が短い2年で発行されて期限切れのエラーで接続に失敗するという事象があるようです。証明書関連は有効期限でトラブルになることが多いので、自動更新されないものは、有効期限の管理がとても重要になります。
場合によっては業務が止まる、重要なシステムが止まるということになりますので、注意が必要です。
そして、vCenterの証明書に関するKBがあるので紹介します。こちら
vCenter Server で STS 証明書の有効期限を確認する (79248)
https://kb.vmware.com/s/article/79248?lang=ja
vCenter Server がバージョン 6.5 Update 2 以降としてデプロイされている場合、Security Token Service (STS) 署名証明書の有効期間が 2 年になることがあるそうです。この結果、vCenter Server のデプロイ時期によっては、すでに有効期限が近づいていることがあるというものです。
ちなみに、vCenter Server では、アップグレード時に STS 証明書は更新されないそうです。
原因
STS 証明書の有効期限が切れるときに、関連する警告が表示されません。一部のシステムでは、初期デプロイから 2 年でこの期限切れが発生する場合があります。
証明書の確認方法です。
①vSphere Web Client に接続します:https://vcenter_server_ip_address_or_fqdn/vsphere-client
②[管理者 > Single Sign-On > 設定 > 証明書 > STS 署名] を選択します。
スクリプトの実行手順です。
①このナレッジ ベース記事に添付されている checksts.py スクリプトをダウンロードします。
②vCenter Server または外部 PSC にアップロードします。たとえば、vCSA では /tmp 、③Windows では %TEMP% などです。VCSA への スクリプトアップロードには、WinSCPを使う方法があります。Win SCP でVCSAに接続できない場合は、KB2107727 もご確認ください。
④cd /tmp を使用して /tmp ディレクトリに移動します。
⑤python checksts.py を実行します
具体的な対処法は以下に書かれていますが、証明書の有効期限については注意が必要です。
https://kb.vmware.com/s/article/79263
 |
