【vCenter Server】STS証明書の有効期限を確認しよう

こんにちは、ITママです。先日美容院に行ってきました。

今回は、vCenter ServerにおけるSTS証明書の有効期限を確認する方法をお伝えします。

CA/Browser Forumの勧告により、すべてのVMware 認証局証明書の有効期限は、デフォルトの10年から 2 年に短縮されました。vSphere 6.5 Update2以降のバージョン6.5～で発行された証明書は、825 日以内に警告ナシに期限切れとなってしまいます。

ある日突然「vSphere Web Clientにログオンできない！」となる前に、対策を進めましょう。

・vSphere Web Clientでの確認方法（もっとも簡単）

① vSphere Web Clientに接続

②管理者＞Single Sign-On＞設定＞証明書＞STS署名　の順に選択

※HTML5 Client からは確認できません

・スクリプト実行による確認方法

①下のKBに添付されている「チェックセット（checksts.py）」スクリプトをダウンロード

②vCenter Serverあるいは、外部のPlatformServices Controller（PSC）にアップロード

たとえば

vCenter Server Appliance（vCSA)の場合：/tmp

Windowsの場合：%TEMP%

③cd /tmp を使用して /tmp ディレクトリに移動
④Pythonchecksts.pyを実行

Windowsの場合は「％VMWARE_PYTHON_BIN％」checksts.pyを実行

そもそもSTS証明書とはなにかご存知でしょうか。

STSとは「Security Token Service」の略です。VMware公式には

セキュリティトークンの発行、検証、更新を行えるサービス

とありますが、つまり、vCenter Serverへアクセスするときは、毎回ユーザ認証のためのワンタイムパスワードが発行される形になるので、STS証明書の有効期限が切れていると認証に不具合が生じてしまう、という結果になってしまうのです。

有効期限の管理には十分注意しましょう。

参考：