ESXiホストの証明書を入れ替える

最近、手順を再認識することがあったので備忘録がてら。

元になるソースはhttp://kb.vmware.com/kb/2015499 です。日本語KBは今日現在では見つけられませんでした。

証明書自体はいろいろな方式で事前に準備されていることとします。OpenSSLやWindowsサーバのオレオレ認証局とか業者の準備する証明書だったりいろいろな方法があるので、この内容については本エントリでは割愛します。

この方法で使用するのはSSHクライアントのみです。SCPクライアントは使用しません。

事前準備:
1.ホストのssh接続を有効にします。

日常的に有効にしておくものでは無いので、作業が終わったら無効に戻しておきましょう。

2.対象ホストをメンテナンスモードにします。
実作業
1.データストアブラウザで適当な場所に新しい証明書を配置します。

たとえば、共有ストレージのwork等のフォルダを作成して配置するといいでしょう。

下記コマンド例では、iSCSIというデータストアのworkフォルダを使用しています。

#cd /etc/vmware/ssl/
#mv rui.crt rui.crt.old 
#mv rui.key rui.key.old 
# cp /vmfs/volumes/iSCSI/work/rui.crt /etc/vmware/ssl/ 
#cp /vmfs/volumes/iSCSI/work/rui.key /etc/vmware/ssl/ 

元の手順には、lessコマンドでrui.crtの内容をチェックして余分な文字が含まれていないか確認するステップが含まれていますので、必要に応じて実施します。

2.Management Agentsを再起動します。

この手順はDCUIからTroubleshooting Options→Restart Management Agentsで実施してもよいのですが、せっかくSSHつないでいるのでSSHから実行します。

#/etc/init.d/hostd restart
#/etc/init.d/vpxa restart

証明書が変更されるとvCenter Serverからは接続が切れますので、再接続します。

ちなみに、証明書が変なものであった場合はホストが起動しなくなることもありえますので慎重に実施しましょう。

世の中的には便利なFlingが出ていますので、ツールを使用してやる方法についてはogawadさんのブログエントリをご参照ください。

 

広告

コメントを残す

以下に詳細を記入するか、アイコンをクリックしてログインしてください。

WordPress.com ロゴ

WordPress.com アカウントを使ってコメントしています。 ログアウト / 変更 )

Twitter 画像

Twitter アカウントを使ってコメントしています。 ログアウト / 変更 )

Facebook の写真

Facebook アカウントを使ってコメントしています。 ログアウト / 変更 )

Google+ フォト

Google+ アカウントを使ってコメントしています。 ログアウト / 変更 )

%s と連携中