切れるとVCSAにログインできなくなったり、管理できなくなったり、色々不都合があるのでメモとして。
割と盲点なのは、マシンSSLを更新した時のNSXとVeeamかなぁ。。。
1.STS証明書更新
- ホストクライアントからvCenterのスナップショットを取得
- VCSA管理の「アクセス」でSSHとBashシェルを有効化する
- SSHでvCenterにログイン
- KB76719に添付のfixsts.shをアップする(できなかったらviで中身コピー)
chmod +x fixsts.shでfixsts.shに実行権限をつける- fixsts.shを実行する(administrator@vsphere.localのパスワードを要求される)
- サービスを再起動する(5~10分くらいかかる)
service-control --stop --all
service-control --start --all - flashクライアントでSTS証明書の有効期限を確認する
2.SSL証明書更新
2-1.6.5の場合
※参考:Platform Services Controller Web インターフェイスからの新しい VMCA 署名付き証明書への証明書の置き換え
- Platform Services Controller(以下PSC)にadministrator@vsphere.localでログインする
(https://vcenter-FQDN/psc) - Certificates→Certificate Management→信頼できるルート証明書タブで期限を確認する(以下、期限に余裕がある場合。期限が近い場合はルート証明書も更新する必要がある)
- マシンSSL証明書タブ及び及びソリューション証明書タブでそれぞれの期限を確認する
- マシンSSL証明書タブで対象の証明書を選択し「更新」→「はい」
- 正常に終了することを確認する
- ソリューション証明書に移動し、「すべてを更新」→「はい」
- 正常に終了することを確認する
- vCenterにSSHで接続し、サービスを再起動する(5~10分くらいかかる)
service-control –stop –all
service-control –start –all - ブラウザのキャッシュを削除し、vCenterにログインする
- メニュー→管理→証明書の管理
- vCenterのFQDN、Administrator@vSphere.localでログイン
- 証明書の期限が更新されている事を確認する
2-2.6.7の場合
※参考:vSphere Clientからの新しい VMCA 署名付き証明書への証明書の置き換え
- vCenterにログイン、メニュー→管理→証明書の管理
- vCenterのFQDN、Administrator@vSphere.localでログイン
- 信頼できるルート証明書(一番下)の期限を確認する
- ルート証明書の期限に余裕がある事を確認する(期限が近い場合は別途)
- マシンSSL証明書及びソリューション証明書の期限を確認する
- マシンSSL証明書のアクション→更新を実施する
- ソリューション証明書の「すべてを更新」を実施する
- ブラウザのキャッシュを削除し、vCenterにログインする
- メニュー→管理→証明書の管理
- vCenterのFQDN、Administrator@vSphere.localでログイン
- 証明書の期限が更新されている事を確認する
3.関連サービスの証明書再インポート(再認証)
これ忘れると、SSLエラーが起きてvCenterとSSLで通信してるサービスが使えなくなる。。。
とりあえず、NSXとVeeamだけメモ的に。
3-1. NSX再認証(再登録)
- NSXManagerにログインする(https://nsxmanager-fqdn/ )
- 「Manage vCenter Registration」をクリック
- 「Lookup Service URL」と「vCenter Server」のステータスがDisconnectedであることを確認
- 「vCenter Server」→「Edit」
- 「vCenter Server」にvCenterのFQDN、「vCenter User Name」に「Administrator@vSphere.local」、「Password」にパスワードを入力し、「OK」
- 「Trust Certificate?」と聞いてくるので「Yes」
- 「Status」が「Connected」であることを確認する
- 同様に「Lookup Service URL」→「Edit」
- 「SSO Administrator User Name」、「Password」は4と同様に入力し、「OK」
- 「Trust Certificate?」と聞いてくるので「Yes」
- 「Status」が「Connected」であることを確認する
- 「Last successful inventory」の日付が、再認証した時間であることを確認する
※補足
VMware公式ドキュメントに以下の記述がある。
既存の NSX Manager の vCenter Server の登録を変更する場合は、最初にすべての NSX 構成を削除し、vCenter Server システムから NSX Manager プラグインを削除する必要があります。手順については、NSX 環境の安全な削除を参照してください。または、新しい NSX Manager アプライアンスをデプロイして、新しい vCenter Server システムを登録することも可能です
NSX Manager への vCenter Server の登録
この場合の「登録変更」とは、「新しいvCenterをNSXに登録すること」であり、「既存vCenterの登録情報を変更すること」ではないため、証明書更新の場合は構成削除は不要。
3-2. Veeam再認証
- Veeamサーバにログイン
- Veeamマネージャを起動
- INVENTORY→Virtual Infrastracture→VMware vSphere→vCenter Servers→vCenterのホスト名を右クリックして「Properties」
- 「Credentials」まで進める
- VeeamからvCenterに接続するアカウントとパスワードに変更がなければそのまま「Apply」を、あった場合は「Manage Accounts」でアカウント情報を修正する
- 「Apply」後、Certificate Security Alert ダイアログが出るので、「View」をクリック
- 証明書が出力されるので、「証明書のインストール」をクリック
- 証明書のインポートウィザードで証明書を再インストールする(保存場所は「ローカルコンピュータ」、証明書ストアは「自動」)
- Certificate Security Alert で「Continue」をクリック
- VCSAと接続ができていることを確認
- VCSAと接続後DBの再構築が発生するので、少し待ってから再度INVENTORY→Virtual Infrastracture→VMware vSphere→vCenter Servers→vCenterのホスト名をクリック
- 右ペインに仮想マシン名が表示されたらOK
※参考手順
Veeam Backup & Replication 9.5u4b の証明書の再インストール手順
(あくまで参考。もしJOBの失敗後の場合は、上記リンクのやり方でも多分大丈夫)