お客さんの施設で稼働しているVM Wareのステータス確認を行うために、いつもと同じ手順でvShpere Clientへログインを試みたら、エラーになって入れない。
エラーメッセージは?
※インターネットから拾った画像なので、このメッセージだったか定かではないですが・・・
なにやら権限が足らないらしい・・・。
Back to login screenのリンクをクリックしてもログイン画面に遷移しない。
幸いにも各ESXiサーバーへ直接ログインは出来るので、そこから各仮想OSに対するアクションはできた。
※でも、HA Cluster等の作業(vMotionなど)はできないため、その作業が必要なときに困る。
原因
色々調べていくと、VMWareの証明書の有効期限が切れると、上記のメッセージが表示されてしまうそう。
vCSA管理画面からサービスの状況を確認すると、vCenter Service系が停止している状況であった。再起動しても反応無し。
対処は?
VMCA証明書を再度作成すれば万事解決。
サーバーのサポート元のHPE社へも確認を取り、証明書が切れていることを確認できた。
VMCAルート証明書再生成方法
HPE社から提示されたリンク
HPE社から提示されたリンクを利用してVMCA証明書を再生成した。
コマンド投入前に、以下の情報を確認した方が良いとのこと。
■事前準備
・必ず vCSA のスナップショットの取得
■VMCA証明書の更新
※ターミナルログを有効にし、実行履歴を保存。(TeraTerm等のツールのこと)
※certificate-manager 実施前に PNID、IPアドレス、ホスト名を確認します。
●PNIDを確認
# /usr/lib/vmware-vmafd/bin/vmafd-cli get-pnid –server-name localhost
●ホスト名を確認
# uname -n
●IP アドレスを確認
# ifconfig
上記実施後に、以下のコマンドを投入して証明書の再生成を始める。
/usr/lib/vmware-vmca/bin/certificate-manager
※オプションはHPE社からの指示で「8」を選択。
※HPE社からの指示で、以下の情報は指示をもらった情報を入力した。
以下3点の項目以外は以前の設定値(Previous value)のまま空欄でEnter。
以下3点のうち最後の2つについて、PNID が IP アドレスの場合は、uname -nコマンドで確認したホスト名(デフォルトではphoton-machine)を代わりに入力。
Enter proper value for ‘IPAddress’ (Provide comma separated values for multiple IP addresses) [optional] : VCSAのIPアドレス を入力
Enter proper value for ‘Hostname’ (Provide comma separated values formultiple Hostname entries) [Enter valid Fully Qualified Domain Name(FQDN), For Example : example.domain.com] : 上記で確認したPNID を入力
Enter proper value for VMCA ‘Name’ : 上記で確認したPNID を入力
すべて処理が終わると、自動的にvCenter Serviceが再起動され、ルート証明書が適用される。
結果
ちゃんとログイン出来たよ!
どうも、vm6.0からは証明書の有効期限が2年に短縮したそう。
以前はもっと長かったらしいですが、6.0以降を利用している方は証明書の有効期限には注意した方が良いかもです。
コメント