1 Rookie
•
39 メッセージ
0
788
VxRail環境におけるSSL証明書更新について
皆様お世話になっております。
VxRail(vSphere)環境において、有効期限が短いSSL証明書が存在しており、本番稼働中に対応せざるを得ないです。
しかしながら、vSphere単体の環境ならまだしも、VxRailにおける証明書更新に関する情報が断片的であるため、改めてこの場で整理させて頂ければと思い投稿しました。
既に情報が集約されている投稿やKBなどがありましたら共有ください…
最近の投稿も参考にしています。
https://www.dell.com/community/%E3%82%B9%E3%83%88%E3%83%AC%E3%83%BC%E3%82%B8-%E3%82%B3%E3%83%9F%E3%83%A5%E3%83%8B%E3%83%86%E3%82%A3/VxRail-7-0-400-VxRail-Manager-%E8%A8%BC%E6%98%8E%E6%9B%B8%E3%81%AB%E9%96%A2%E3%81%99%E3%82%8B%E6%A9%9F%E8%83%BD%E3%81%AB%E3%81%A4%E3%81%84%E3%81%A6/m-p/8275317
https://www.dell.com/community/%E3%82%B9%E3%83%88%E3%83%AC%E3%83%BC%E3%82%B8-%E3%82%B3%E3%83%9F%E3%83%A5%E3%83%8B%E3%83%86%E3%82%A3/VxRAIL-%E7%92%B0%E5%A2%83%E4%B8%8B%E3%81%AEMACHINE-CERT%E3%81%AB%E3%81%A4%E3%81%84%E3%81%A6/m-p/7911457
シチュエーションとしては以下を想定します。
・VxRail 7.0.400周辺
・デフォルトの自己署名証明書を有効期限「前」に「更新」
(ユーザ証明書への置き換えではなく、自己署名証明書の更新)
まず前提として、有効期限が10年未満の証明書は以下が存在している認識です。
A:vCenter マシン証明書(2年)
B:VxRail Manager証明書(810日)
C:ESXi証明書(5年)
上記の各証明書の更新方法と、更新後のVxRailコンポーネント間の作業について確認させて頂きたいです。
A:vCenter マシン証明書
・更新作業
《vSphere Clientの管理-「証明書の管理」画面上からアクション-「更新」》
・更新後作業
SolVeの以下のドキュメントが関係ありそうだと思いましたが、
Choose activity: Change other VxRail Cluster settings
Select the VxRail Software Version: v7.0.4xx
Select your "How To" Procedure: Import vSphere SSL certificates to VxRail Manager
上記ドキュメントの「1.」~「10.」は、vCenterのルート証明書をVxMに取り込む作業のため、関係ないのかなと…。
「11.」は10.の続きなのか独立しているのかわかりませんので、今回の作業時に必要なのかも不明です。
「12.」はESXiホストの証明書を更新した際の手順なので実施不要ではないかと。
B:VxRail Manager証明書
・更新作業
最近のバージョンで機能が追加された、
《vSphere Clientのクラスタ-構成-VxRail-証明書-「証明書の更新」-VxRail自己署名証明書を選択し「更新」》
で更新できそうな気配ですが、試せる環境がなく挙動も不明ですので、ご存じでしょうか。
・更新後作業
上記GUIからの更新の挙動が不明なので、更新後の必要な作業も?です。
KB000014291:VxRail: How to re-generate the self-signed SSL certificate for VxRail Manager
だと、《vSphere Clientのクラスタ-サマリ-カスタム属性-「VxRail-SSL-THUMBPRINT」》の属性を新しいVxMのTHUMBPRINTに変更する手順があり、必要かどうか気になるところです。
C:ESXi証明書
・更新作業
《vSphere Clientのホスト-構成-証明書-「更新」》
・更新後作業
SolVeの以下のドキュメントが関係ありそうだと思いました
Choose activity: Import ESXi Host Certificates into VxRail Manager
Select the VxRail Software Version: v7.0.4xx
ただ、自己署名証明書の更新作業においてこの作業が必要かどうか…?
長々と申し訳ございませんが、このあたりのVxRail環境における証明書更新作業の情報が纏まっていると助かる人が多いとは思いました。
shirano2
1 Rookie
1 Rookie
•
60 メッセージ
1
2022年11月1日 23:00
vCenterとVxRail Managerは内部で相互に証明書を介したSSL通信を行っています。
このため、VxRail ManagerがvCenterへSecureな通信を行う際の認証のためにvCenterの証明書としてVMCAルート証明書を保持している必要性があります。
VCSAのマシンSSL証明書を更新した際、そのIssuerであるVMCAが更新前と異なるような場合、VxRail Managerが内部で保持しているVMCAの証明書ではvCenterへの通信の認証が通らなくなるため、「1.」~「10.」にてvCenterのVMCAルート証明書を取り込んでいます。
「11.」ではおそらくVxRail manager内部で動作しているコンテナ等がVCSAと通信するための参照しているVMCA証明書情報を更新しているのではないかと思われます。
ESXiホストのSSL証明書についても、VMCAルート証明書で署名されたものであるため、「12.」でESXiホストの証明書を取り込み更新している挙動だと思われます。
VMCAルート証明書は更新せずにVCSAマシンSSL証明書のみの更新であれば、厳密には本手順は不要かもしれませんが、実施して影響のあるものではありませんので、VCSA/ESXiマシンSSL証明書更新後は実施しておくことが無難ではないかなと思われます。
例えば、4.7環境から7.0環境へUpgradeしていた場合などにおいて、VMCAルート証明書のCNはPSC からVCSAに変わりますが、VCSAマシンSSL証明書のIssuerは旧来のPSCのままであり、Trusted Root Certificatsとして、旧PSCがCNのVMCAとVCSAがCNのVMCAの2つが存在していたりする場合があります。
このような環境で、VCSAマシンSSL証明書を更新するとIssuerがCNがVCSAのものに変わる場合があり、VxRail Managerの保持しているVMCAとVCSAマシンSSL証明書のIssuerのVMCAが異なるものとなることがありえますので、やはり、VCSAマシンSSL証明書更新後には実施しておくことが間違いないと言えると思います。
vCenterとVxRail Managerは内部で相互に証明書を介したSSL通信を行っています。
VxRail ManagerがvCenterへ通信を行うためにVMCAルート証明書をVxRail Manager内にImportしてありますが、逆向きにvCenterがVxRail managerへ通信を行い場合は、VxRail ManagerマシンSSL証明書のThumbprintを確認していると思われます。
通常GUIでもKB000014291でもVxRail Manager証明書をRe-generateした場合は、自動でvCenterと通信し、この「VxRail-SSL-THUMBPRINT」の値が書き換えられると思われますが、VxRail Manager証明書更新後しばらくしても書き換わらない・物理ビュー表示が表示されないなどの場合は、手動でここの値を更新してあげる程度の考えて頂いてもいいのではないかと思います。
以前のVersionだと、VxRail ManagerはVCSA/ESXiのIssuerであるVMCAルート証明書のみをImportしておけば問題なかったのですが、最新のVersionでは様々なSecureな内部通信機能が追加されていることで、VCSAマシンSSL証明書更新時と同様ESXi証明書についてもVxRail Manager内で保持するようになっているのだと思われます。
4.7環境から7.0環境へのUpgradeした場合などの例と同様に実施しておくことが無難であり特段Custom証明書の場合の手順であるというような記載がない限りは、SolVeの手順に従って実施しておくべきだと考えます。
kwmt
4 Operator
4 Operator
•
877 メッセージ
2
2022年11月1日 19:00
証明書置き換え、更新関連がざっくりまとまった KB が以下となります。
Dell EMC VxRail: Replacing certificates for various VxRail components (Customer Correctable)
https://www.dell.com/support/kbdoc/en-us/000019755/
現在 VxRail 実機の証明書交換を行える環境が近くに無いため試せてはいませんが、
既に確認されている Solve や KB などの公式手順への案内がまとまっています。
ご参考まで
DELL-Naoyuki K
4 Operator
4 Operator
•
1.8K メッセージ
1
2022年11月3日 07:00
7.0.400からGUIから更新可能になっています。
Thumbprint も自動で更新されてます。(ラボで試しました)
hinkei
1 Rookie
1 Rookie
•
39 メッセージ
0
2022年11月4日 01:00
みなさま、返答ありがとうございます。
>kwmt様
証明書更新に関して纏まったKBが存在していたのは把握できておりませんでした。
VxRail環境でも証明書更新作業が必要であるという契機としては大変有意義なKBだと認識しましたが、実対応するうえでは改めて対応内容を調査確認する必要があるとも感じました。
(あと一歩、踏み込んだ内容でKBが構成されていると、大変助かると思いました。)
もちろん、VxRailバージョンによって手順は変わってくるため、SolVeへ誘導するのが良いかなと…。
(KBとして手順を掲載されている場合、どのVxRailバージョンに適合しているのかわからないKBも多いので)
>shirano2様
各項目について、説明や補足頂き大変ありがとうございました。
ルート証明書も含めて再取り込みしても理論上は問題ないのは承知しておりますので、SolVe通りに実施するのが無難だなと理解しました。
各証明書は同一のタイミングで更新することが多い気がするので、アプライアンスとしてのVxRailの強みを生かしてより手数が少なくなると良いですね…。
>naoyuki_kaneda様
VxRail Manager証明書のGUIでの更新について、確認頂きありがとうございました。
Thumbprintも自動で更新されるので、VxRail Manager関連はGUIの機能で更新作業が実現できることとなり、大変便利な機能が追加されたと改めて認識しました。
vCenterの証明書の管理GUIを拡張して、各VxRailコンポーネントの証明書の有効期限の確認や、ワンクリックで更新できる機能が搭載されたら嬉しい…。