そういうのがいいブログ

SIerで働く30代サラリーマンSEがインフラエンジニアに憧れてLinux・クラウド・AWSの勉強をするブログ

ESXi6.7ホスト証明書を再構築し「保護されていない通信」エラー解消方法

※[PR]当ブログの記事の中にはプロモーションが含まれています。

・ESXiホストのサーバ証明書を更新して、「無効な証明書エラー」「保護されていない通信エラー」を解消する方法を知りたい。
・具体的な手順を教えてほしい。

こういった疑問に答えます。

本記事の内容

  1. ESXi証明書の発行先が「localhost.localdomain」になっているので、実際のホスト名・ドメイン名に変更
  2. ESXiホストにSSH接続して、サーバ証明書を再構築
  3. 発行元の「VMware Installer」証明書を、クライアント端末(Windows10)の「信頼されたルート証明機関」に追加

サトナカ (@souiunogaii)

この記事を書いている私は、某SIerに勤務しながら、
WEB系エンジニア・インフラエンジニアに憧れて、プログラミングおよびインフラ技術の勉強をしています。

こういった私が、解説していきます。

私が実機で試したコマンドや画像を載せて書いています。
記事の信頼性担保に繋がると思います。

ESXi 6.7u3のホストのサーバ証明書を更新して、「保護されていない通信」エラーや「無効な証明書」エラーを解消する方法

ESXi 6.7u3インストール直後の状態

ESXi6.7u3をインストールした直後の状態で、ブラウザでHTTPSでアクセスすると、
以下のように「保護されていない通信」のエラーが表示されてしまいます。

httpsのところが取消線になってしまっています。

このままでも、ESXiにログインできるし、使うだけなら問題ないのですが、
保護されていない通信」のエラーが表示されたままだと、気持ちが悪いです。

証明書の内容を確認すると、以下の通りでした。

  • 証明書の情報: 情報不足のため、この証明書を検証できません
  • 発行先: localhost.localdomain
  • 発行者: VMware Installer

今回はこれを解消する手順を紹介します。
大きく、以下の3つを行います。

  1. 発行先が「localhost.localdomain」になっているので、実際のホスト名・ドメイン名に変更する
  2. ESXiホストにSSH接続して、サーバ証明書を再構築
  3. 発行元の「VMware Installer」証明書を、クライアント端末(Windows10)の「信頼されたルート証明機関」に追加

手順①:ESXi6.7u3でホスト名・ドメイン名を変更

ナビゲータ>ネットワーク>TCP/IPスタック>デフォルトのTCP/IPスタック

アクション>設定の編集

ホスト名・ドメイン名・DNSサーバを設定

変更前

変更後

デフォルトのTCP/IPスタックの変更後の内容を確認

ナビゲータ>ホスト の画面でも変更後の内容を確認

仮想マシンをシャットダウンしてから、ESXiをメンテナンスモードに変更して「再起動」

手順②:ESXiホストにSSH接続してサーバ証明書を再構築

souiunogaii.hatenablog.com

/etc/vmware/ssl ディレクトリに移動

cd /etc/vmware/ssl
[root@SV-URANUS:~] cd /etc/vmware/ssl
[root@SV-URANUS:/etc/vmware/ssl] ls -l
total 20
-rw-r--r--    1 root     root          1050 Jan 28 12:34 castore.pem
-rw-r--r--    1 root     root          3133 Jan 28 12:34 iofiltervp.pem
-r--r--r--    1 root     root           229 Nov 23  2019 openssl.cnf
-r-------T    1 root     root             0 Nov 23  2019 rui.bak
-rw-r--r--    1 root     root          1428 Jan 28 12:34 rui.crt
-r--------    1 root     root          1704 Jan 28 12:34 rui.key
-rw-r--r-T    1 root     root             0 Oct 11  2019 vsan_kms_castore.pem
-rw-r--r-T    1 root     root             0 Oct 11  2019 vsan_kms_castore_old.pem
-rw-r--r-T    1 root     root             0 Oct 11  2019 vsan_kms_client.crt
-r-------T    1 root     root             0 Oct 11  2019 vsan_kms_client.key
-rw-r--r-T    1 root     root             0 Oct 11  2019 vsan_kms_client_old.crt
-r-------T    1 root     root             0 Oct 11  2019 vsan_kms_client_old.key
-rw-r--r-T    1 root     root             0 Oct 11  2019 vsanvp_castore.pem

デフォルトの「rui.crt」「rui.key」をバックアップしてローカルにダウンロード

mv rui.crt rui.crt.org
mv rui.key rui.key.org
[root@SV-URANUS:/etc/vmware/ssl] mv rui.crt rui.crt.org
[root@SV-URANUS:/etc/vmware/ssl] mv rui.key rui.key.org
[root@SV-URANUS:/etc/vmware/ssl] ls -l
total 20
-rw-r--r--    1 root     root          1050 Jan 28 12:34 castore.pem
-rw-r--r--    1 root     root          3133 Jan 28 12:34 iofiltervp.pem
-r--r--r--    1 root     root           229 Nov 23  2019 openssl.cnf
-r-------T    1 root     root             0 Nov 23  2019 rui.bak
-rw-r--r--    1 root     root          1428 Jan 28 12:37 rui.crt.org
-r--------    1 root     root          1704 Jan 28 12:37 rui.key.org
-rw-r--r-T    1 root     root             0 Oct 11  2019 vsan_kms_castore.pem
-rw-r--r-T    1 root     root             0 Oct 11  2019 vsan_kms_castore_old.pem
-rw-r--r-T    1 root     root             0 Oct 11  2019 vsan_kms_client.crt
-r-------T    1 root     root             0 Oct 11  2019 vsan_kms_client.key
-rw-r--r-T    1 root     root             0 Oct 11  2019 vsan_kms_client_old.crt
-r-------T    1 root     root             0 Oct 11  2019 vsan_kms_client_old.key
-rw-r--r-T    1 root     root             0 Oct 11  2019 vsanvp_castore.pem

サーバ証明書ファイルを再構築

/sbin/generate-certificates
[root@SV-URANUS:/etc/vmware/ssl] /sbin/generate-certificates
[root@SV-URANUS:/etc/vmware/ssl] ls -l
total 28
-rw-r--r--    1 root     root          1050 Jan 28 12:38 castore.pem
-rw-r--r--    1 root     root          3133 Jan 28 12:34 iofiltervp.pem
-r--r--r--    1 root     root           229 Nov 23  2019 openssl.cnf
-r-------T    1 root     root             0 Nov 23  2019 rui.bak
-rw-r--r--    1 root     root          1444 Jan 28 12:38 rui.crt
-rw-r--r--    1 root     root          1428 Jan 28 12:37 rui.crt.org
-r--------    1 root     root          1704 Jan 28 12:38 rui.key
-r--------    1 root     root          1704 Jan 28 12:37 rui.key.org
-rw-r--r-T    1 root     root             0 Oct 11  2019 vsan_kms_castore.pem
-rw-r--r-T    1 root     root             0 Oct 11  2019 vsan_kms_castore_old.pem
-rw-r--r-T    1 root     root             0 Oct 11  2019 vsan_kms_client.crt
-r-------T    1 root     root             0 Oct 11  2019 vsan_kms_client.key
-rw-r--r-T    1 root     root             0 Oct 11  2019 vsan_kms_client_old.crt
-r-------T    1 root     root             0 Oct 11  2019 vsan_kms_client_old.key
-rw-r--r-T    1 root     root             0 Oct 11  2019 vsanvp_castore.pem

新しい、「rui.crt」「rui.key」ファイルが作成されました。

ESXiホストを再起動

reboot

手順③:発行元の「VMware Installer」証明書を、クライアント端末(Windows10)の「信頼されたルート証明機関」に追加

/etc/vmware/ssl/castore.pem をローカルにダウンロード

castore.pemの拡張子を「.crt」にリネーム

ローカルにダウンロードしたPEMファイルを、拡張子を変更して証明書ファイルとして開けるようにします。

castore.pem.crtをクライアント端末(Windows10)の証明書ストアにインストール(信頼されたルート証明機関)

リネームした証明書ファイルを開くと「証明書のインストール」ボタンがあるのでクリックします。

証明書のインポートウィザード画面が開きます。

保存場所は「ローカルコンピューター」を選択して「次へ」

「証明書をすべて次のストアに配置する」を選択して「参照」ボタンをクリック

「信頼されたルート証明機関」を選択して「OK」

「次へ」

「完了」

正しくインポートされました。

手順④:ブラウザでHTTPSアクセスしてエラーが解消したことを確認

保護されていない通信」エラーが消えて、「鍵」マークが表示されました。

証明書の内容を表示して確認します。

  • 証明書の情報: リモートコンピューターのIDを保証する。リモートコンピューターにIDを証明する
  • 発行先: 設定したホスト名・ドメイン
  • 発行者: VMware Installer

証明書のパス

ナビゲータ>ホストの管理>セキュリティとユーザーの権限>証明書

でも、証明書の内容が確認できます。

以上で、ESXiのサーバ証明書を再構築して「保護されていない通信」エラーを解消することができました。

参考サイト

VMware ESXi 6.0ホストの構築gplains.wordpress.com