Japanese

 View Only

 vCenterの認証局から発行した証明書の設定について

Jump to  Best Answer
Sousuke0614's profile image
Sousuke0614 posted Jul 26, 2024 06:21 AM

同様のエラー解消事例あれば教えてください。
または、トラブルシュート方法(どこのログをみればよいか)等ご教示いただければ

嬉しいです。

vCenter Server 7.0 で CSR を生成してカスタム証明書に置き換える

Jangari-ntk remove preview
vCenter Server 7.0 で CSR を生成してカスタム証明書に置き換える
vSphere 6.7 以降では vSphere Client から証明書の管理が可能になっています。カスタム証明書の CSR を vCenter Server で生成する手順について文言など多少混乱した点があったので、記録として残しておきたいと思います。
View this on Jangari-ntk >

上記URLにそってCA証明書を取り込もうとしていますが、添付エラー.xlsxのように

TLSの取得中にエラーが発生しましたというメッセージがでて取り込みうまくいきません。
vSphere Client の [ホーム] > [管理] > [証明書の管理] を開き、[アクション] から [証明書をインポートして置き換え] をクリックします。

解決事例あればおしえてください。
または、トラブルシュート方法(どこのログをみればよいか)等ご教示いただければ幸いです。

Attachment  View in library
hiranos's profile image
hiranos  Best Answer

詳細ご連絡ありがとうございます。

GlobalSign社の証明書であれば、中間CA証明書とRoot証明書があると思われます。
下記KBに記載があるように中間CA証明書とRoot証明書を連結させたものを、[信頼されたルート証明書チェーン]として、入力する必要があります。

 Obtaining vSphere certificates from a Microsoft Certificate Authority
 https://knowledge.broadcom.com/external/article?legacyId=2112014

もしチェーンされた証明書を入力していない場合、こちらを確認してみていただければと思います。
なお、中間CA証明書とRoot証明書をチェーンさせる際、不要なスペースや改行コードが入ることで正しく証明書をImportできないこともありますので、ご注意ください。

hiranos's profile image
hiranos

実施しようとしている作業としては、
「vCenterマシンSSL証明書」について、「VMCA以外の外部CA」で認証された「カスタム証明書」へ入れ替える作業
ということで相違ないでしょうか。

その場合、「VMCA以外の外部CA」で新しい「vCenterマシンSSL証明書」を作成してもらうために、
vSphere Client上から「CSR(証明書署名要求)」を作成し、そのCSRを「VMCA以外の外部CA」で署名し「カスタム証明書」を作成します。

"証明書の置き換え:外部CA証明書に置き換え" 画面では、
"マシンSSL証明書" 欄に「VMCA以外の外部CA」で署名してもらった「カスタム証明書」の内容を入力
"信頼されたルート証明書チェーン" 欄に「VMCA以外の外部CA」の証明書もしくは「VMCA以外の外部CA」を含むチェーン証明書の内容を入力します。

エラーメッセージの内容からすると、"信頼されたルート証明書チェーン" 欄に入力された内容・形式が正しくないかemptyであるように見えました。
状況からは、空欄で入力した。カスタム証明書を作成したCAの証明書ではないものを入力した。証明書形式に誤りがあった。不要な改行などが含まれていた。
CSR作成時に複数回のRetryを施行し、vCenter内部に保管されるPrivate KeyがCSR署名時に使用されたものと異なるものとなった。
などが考えられそうに思えます。

この手の話は、ログからトラブルシュートを行うことよりも、実施の手順を見直し、証明書やCAの形式などにおいて、誤りがないかを確認する手順が効果的だと考えますため、実施しようとしている作業と、実際に作業した詳細の内容を確認させていただけますでしょうか。

Sousuke0614's profile image
Sousuke0614

ご回答ありがとうございます。
「vCenterマシンSSL証明書」について、「VMCA以外の外部CA」で認証された「カスタム証明書」へ入れ替える作業
ということで相違ないです。


vCenterにて証明書の管理より

vCenter Serverからが生成される外部証明書に置き換え(プライベートキーは組み込み) を選択

(添付手順 証明書手順.xlsx)以下2つ vCenterからcsrを生成し外部認証局より発行してもらった以下二つのcsrファイルを取り込んでいます。

①「VMCA以外の外部CA」で署名してもらった「カスタム証明書」

②GlobalSign RSA OV SSL CA 2018.crt

手順として問題なさそうか分かりますでしょうか?

もし問題なさそうであれば

CSR作成時に複数回のRetryを施行し、vCenter内部に保管されるPrivate KeyがCSR署名時に使用されたものと異なるものとなった

可能性を考えCSR再作成を考えています。

Sousuke0614's profile image
Sousuke0614

中間CA証明書とRoot証明書をチェーンさせることでうまくいきました。大変助かりました。ありがとうございます!!