【vCenter Server】STS証明書の有効期限を確認しよう
こんにちは、ITママです。先日美容院に行ってきました。
今回は、vCenter ServerにおけるSTS証明書の有効期限を確認する方法をお伝えします。
CA/Browser Forumの勧告により、すべてのVMware認証局証明書の有効期限は、デフォルトの10年から 2 年に短縮されました。vSphere 6.5 Update2以降のバージョン6.5~で発行された証明書は、825 日以内に警告ナシに期限切れとなってしまいます。
ある日突然「vSphere Web Clientにログオンできない!」となる前に、対策を進めましょう。
STS証明書の有効期限を確認する方法
・vSphere Web Clientでの確認方法(もっとも簡単)
① vSphere Web Clientに接続
②管理者>Single Sign-On>設定>証明書>STS署名 の順に選択
※HTML5 Client からは確認できません
・スクリプト実行による確認方法
①下のKBに添付されている「チェックセット(checksts.py)」スクリプトをダウンロード
https://kb.vmware.com/s/article/79248
②vCenter Serverあるいは、外部のPlatformServices Controller(PSC)にアップロード
たとえば
vCenter Server Appliance(vCSA)の場合:/tmp
Windowsの場合:%TEMP%
③cd /tmp を使用して /tmp ディレクトリに移動
④Pythonchecksts.pyを実行
Windowsの場合は「%VMWARE_PYTHON_BIN%」checksts.pyを実行
STS証明書とは
そもそもSTS証明書とはなにかご存知でしょうか。
STSとは「Security Token Service」の略です。VMware公式には
セキュリティトークンの発行、検証、更新を行えるサービス
とありますが、つまり、vCenter Serverへアクセスするときは、毎回ユーザ認証のためのワンタイムパスワードが発行される形になるので、STS証明書の有効期限が切れていると認証に不具合が生じてしまう、という結果になってしまうのです。
有効期限の管理には十分注意しましょう。
参考: