vSphere Client へ接続した際にブラウザで以下のような警告が表示される場合があります。
※ ブラウザによって表示されているメッセージは異なります。
・ 保護されていない通信
・ この接続ではプライバシーが保護されません
・ このサイトへの接続は保護されていません
・ 安全ではありません
・ このサイトとの接続は安全ではありません
・ 警告:潜在的なセキュリティリスクあり
・ セキュリティ保護なし
・ このサイトへの接続は安全ではりません
・ 接続がプライベートではありません
・ 証明書のエラー
・ このサイトは安全ではありませんGoogle Chrome の場合は以下のように表示されています。
上記のような警告が表示されている場合、以下 KB 2108294 の手順で [信頼された
ルート CA 証明書] を [信頼されたルート証明書機関] にインポートすることで、警告
表示は解消されます。
※ 以下 KB を実際に行った際の手順は後述にも記載します。
・Web ブラウザで証明書に関する警告表示を出さないようにするために vCenter Server のルート証明書をダウンロードしてインストールする方法 (2108294)
https://kb.vmware.com/s/article/2108294?lang=jaただし、上記手順で [信頼されたルート CA 証明書] をインポートしたとしても、
vCenter Server のシステム名(PNID) でアクセスした場合にしか警告表示が解消
されません。
つまり、vCenter Server デプロイ時に設定したシステム名が FQDN の場合は、
FQDN でアクセスした際にのみ上記警告表示が解消され、IP アドレスでアクセス
した際には警告表示が解消されません。
本記事では [信頼されたルート CA 証明書] をインポートすることで IP アドレス
/ FQDN どちらでアクセスしたとしても警告表示が解消される方法について記載
します。
[信頼されたルート CA 証明書] をインポートして IP アドレス/FQDN どちらでアクセスした場合でも警告表示を無くす方法
まず初めに、何故デフォルトの状態だと IP アドレス/FQDN のいずれかでしか
警告表示が解消されないのかと言うと、デフォルトでは vCenter Server が
保持するマシン SSL 証明書のサブジェクト代替名(Subject Alternative Name)
に vCenter Server のシステム名しか記載されていないためです。
実際に証明書の情報を確認してみると以下のようになっています。
vCenter Server 上から確認する場合、以下コマンドの実行結果より [Subject Alternative
Name] から確認可能です。
root@ss155 [ ~ ]# /usr/lib/vmware-vmafd/bin/vecs-cli entry list --store MACHINE_SSL_CERT --text
Number of entries in store : 1
Alias : __MACHINE_CERT
Entry type : Private Key
Certificate:
Data:
Version: 3 (0x2)
Serial Number:
xx:xx:xx:xx:xx:xx:xx:xx
Signature Algorithm: sha256WithRSAEncryption
Issuer: CN=CA, DC=vsphere, DC=local, C=US, ST=California, O=ss155.home.com, OU=VMware Engineering
Validity
Not Before: Aug 28 06:51:07 2022 GMT
Not After : Aug 27 18:51:07 2024 GMT
Subject: CN=ss155.home.com, C=US
Subject Public Key Info:
Public Key Algorithm: rsaEncryption
Public-Key: (2048 bit)
Modulus:
00:e1:79:09:c5:26:34:8f:fd:3a:d6:ca:94:7f:c3:
48:8d:10:98:77:eb:1f:53:ad:24:54:4b:11:60:2d:
28:f1:07:93:07:c5:64:90:97:5b:81:7c:27:e3:b9:
b7:fd:2a:46:6d:a0:0b:36:73:25:67:32:f5:b0:c3:
c3:b0:3f:f5:89:cf:42:3a:13:84:ff:74:eb:58:50:
83:51:ba:44:9c:b6:6e:66:e8:bf:3a:38:92:19:c3:
21:cd:3a:5d:8b:d5:f9:58:4d:c8:c2:93:8e:a7:6b:
eb:2a:25:23:69:0f:72:b6:2e:69:ab:93:6b:11:c9:
6a:32:de:10:ac:cb:37:58:8a:56:b3:a4:a1:21:cf:
2d:bc:19:3b:50:8a:54:3d:6a:56:28:52:0b:34:6b:
e1:ef:39:1a:fa:1c:7b:fe:d2:c9:30:15:da:42:8f:
7b:54:b6:4e:7d:84:db:b2:40:98:d0:e2:be:36:c3:
9b:c5
Exponent: 65537 (0x10001)
X509v3 extensions:
X509v3 Key Usage:
Digital Signature, Key Encipherment, Key Agreement
X509v3 Subject Alternative Name:
DNS:ss155.home.com ★★★そのため、マシン SSL 証明書のサブジェクト代替名(Subject Alternative Name) に
IP アドレスを追加すればどちらで接続しても警告が表示されなくなります。
マシン SSL 証明書にサブジェクト代替名を追加する方法
vCenter Server の bash シェルへ接続の上、vSphere Certificate Manager を起動し、
option3 実行後の [Enter proper value for ‘IPAddress’ 〜] の箇所に IP アドレスを入力
すれば、サブジェクト代替名が追加されます。
root@ss155 [ ~ ]# /usr/lib/vmware-vmca/bin/certificate-manager
_ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _
| |
| *** Welcome to the vSphere 6.8 Certificate Manager *** |
| |
| -- Select Operation -- |
| |
| 1. Replace Machine SSL certificate with Custom Certificate |
| |
| 2. Replace VMCA Root certificate with Custom Signing |
| Certificate and replace all Certificates |
| |
| 3. Replace Machine SSL certificate with VMCA Certificate |
| |
| 4. Regenerate a new VMCA Root Certificate and |
| replace all certificates |
| |
| 5. Replace Solution user certificates with |
| Custom Certificate |
| NOTE: Solution user certs will be deprecated in a future |
| release of vCenter. Refer to release notes for more details.|
| |
| 6. Replace Solution user certificates with VMCA certificates |
| |
| 7. Revert last performed operation by re-publishing old |
| certificates |
| |
| 8. Reset all Certificates |
|_ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _|
Note : Use Ctrl-D to exit.
Option[1 to 8]: 3 ★option3 を選択★
Please provide valid SSO and VC privileged user credential to perform certificate operations.
Enter username [Administrator@vsphere.local]:Administrator@vsphere.local ★SSO 管理者情報★
Enter password: ★SSO 管理者のパスワード★
Please configure certool.cfg with proper values before proceeding to next step.
Press Enter key to skip optional parameters or use Default value.
Enter proper value for 'Country' [Default value : US] : ★何もせず Enter★
Enter proper value for 'Name' [Default value : CA] : ★何もせず Enter★
Enter proper value for 'Organization' [Default value : VMware] : ★何もせず Enter★
Enter proper value for 'OrgUnit' [Default value : VMware Engineering] : ★何もせず Enter★
Enter proper value for 'State' [Default value : California] : ★何もせず Enter★
Enter proper value for 'Locality' [Default value : Palo Alto] : ★何もせず Enter★
Enter proper value for 'IPAddress' (Provide comma separated values for multiple IP addresses) [optional] : 192.168.0.155 ★IP アドレス★
Enter proper value for 'Email' [Default value : email@acme.com] : ★何もせず Enter★
Enter proper value for 'Hostname' (Provide comma separated values for multiple Hostname entries) [Enter valid Fully Qualified Domain Name(FQDN), For Example : example.domain.com] : ss155.home.com ★vCSA の PNID★
Enter proper value for VMCA 'Name' :ss155.home.com ★vCSA の PNID★
You are going to regenerate Machine SSL cert using VMCA
Continue operation : Option[Y/N] ? : Y ★Y を実行★※※※※※※※※※※※※※※※※※※※※※※※※※※※※※※※※※※※※※※※※※※
vCenter Server の PNID は以下のコマンドで確認できます。
# /usr/lib/vmware-vmafd/bin/vmafd-cli get-pnid --server-name localhost
※※※※※※※※※※※※※※※※※※※※※※※※※※※※※※※※※※※※※※※※※※
上記手順でマシン SSL 証明書の更新が完了した後に、再度マシン SSL 証明書の
サブジェクト代替名を確認してみると以下のように IP アドレスが追加されている
ことが確認できます。
コマンドの実行結果は以下のようになっています。
root@ss155 [ ~ ]# /usr/lib/vmware-vmafd/bin/vecs-cli entry list --store MACHINE_SSL_CERT --text
Number of entries in store : 1
Alias : __MACHINE_CERT
Entry type : Private Key
Certificate:
Data:
Version: 3 (0x2)
Serial Number:
fe:xx:xx:xx:xx:xx:xx:xx
Signature Algorithm: sha256WithRSAEncryption
Issuer: CN=CA, DC=vsphere, DC=local, C=US, ST=California, O=ss155.home.com, OU=VMware Engineering
Validity
Not Before: Nov 6 02:41:12 2022 GMT
Not After : Nov 5 02:41:12 2024 GMT
Subject: CN=ss155.home.com, C=US, ST=California, L=Palo Alto, O=VMware, OU=VMware Engineering
Subject Public Key Info:
Public Key Algorithm: rsaEncryption
Public-Key: (2048 bit)
Modulus:
00:ec:ea:bc:8c:73:18:f5:11:1c:99:d3:33:a3:91:
b9:01:bb:39:4b:4e:be:fb:d5:fd:f9:94:d6:78:ae:
a4:68:5b:79:d0:17:cf:42:5d:3d:4a:36:29:f2:a7:
bb:9e:95:8c:a0:78:41:97:25:7f:52:19:22:8f:95:
81:8a:39:a8:7a:b4:d7:36:1c:87:da:db:7f:da:53:
5f:a3:0b:7a:f2:2f:91:2a:33:38:91:30:06:39:bc:
5a:f2:92:bf:3c:b0:ca:a2:e4:bf:d3:1c:d3:c6:b8:
95:1e:8b:cc:2d:63:f6:80:f8:b0:ea:6f:08:71:bd:
49:0b:f5:e3:52:45:d3:2b:a8:11:4d:80:29:5a:43:
97:5d:55:3f:2d:ab:26:0f:91:35:b6:93:0b:91:41:
48:ef:44:87:f0:78:31:6b:e5:9a:80:4d:c1:dc:be:
b3:3d:ff:50:0e:8e:90:8b:cb:06:11:b0:63:bb:a2:
9d:95
Exponent: 65537 (0x10001)
X509v3 extensions:
X509v3 Key Usage:
Digital Signature, Non Repudiation, Key Encipherment
X509v3 Subject Alternative Name:
email:email@acme.com, IP Address:192.168.0.155, DNS:ss155.home.com ★★★以上で準備が整ったため、通常通りの手順で [信頼されたルート CA 証明書] をインポート
してみましょう。
[信頼されたルート CA 証明書] をインポートする手順
※ サブジェクト代替名を追加せずとも以下インポートの手順は共通です。
まずは [https://vCenter Server の “IP アドレス” or “FQDN”] へブラウザから接続して
ください。(この時点で警告が表示されても無視して進んでください。)
接続すると以下の画面が表示されるので、[信頼されたルート CA 証明書をダウンロード]
をクリックしてください。
[信頼されたルート CA 証明書をダウンロード] をクリックすると [download.zip] が
そのままダウンロードされる場合もありますが、ブラウザによっては以下のような画面
になる場合があるので、以下画面が表示された場合には 右クリック → [名前をつけて保存]
で [download.zip] を保存してください。
ダウンロードした [download.zip] を解凍し、[certs¥win] の中にある [〜.crt] を右クリック
→ [証明書のインストール] をクリックしてださい。
ローカル コンピューター を選択
参照先に [信頼されたルート証明書機関] を選択し、[次へ] をクリック。
[完了] をクリック
次に、[〜.crl] を右クリックし [CRL のインストール] から上記手順と同様に
[信頼されたルート証明書機関] へインポートすれば完了です。
なお、[〜.crt], [〜.crl] が複数ある場合は全てを [信頼されたルート証明書機関]
へインポートしてください。
接続確認
vCenter Server の IP アドレス及び FQDN どちらで接続した場合でも以下の
ように警告表示が出力されていなければ、問題ないです。
参考
・vSphere 6.x マシン SSL 証明書を VMware 認証局によって発行された証明書に置き
換える (2112279)
https://kb.vmware.com/s/article/2112279?lang=ja
・Web ブラウザで証明書に関する警告表示を出さないようにするために vCenter Server
のルート証 明書をダウンロードしてインストールする方法 (2108294)
https://kb.vmware.com/s/article/2108294?lang=ja
