vCenterの証明書の更新は3ヶ月おき。
もうすでに毎度のことなので心配せず、SSHでvCenterにログインしてコマンドで更新すればと 安易に考えてたら、今回もしっかり罠にハマって手間取ってしまった。
よく考えたら2つの問題に出くわして解決に2週間かけてしまった。
一つ目は、証明書にワイルドカードが使えないということ。 すっかり忘れてワイルドカード証明書を適用してエラーになってしまった。
これがケチのつき始め。
この後、証明書のロールバック処理がうまくいかず散々な目に遭うことに なるのである。
さて、証明書をワイルドカードだとダメということでvCenterのFQDNを 設定した証明書を再設定してみる。
そうするとなぜだか、エラーになってしまい設定がロールバックして しまうのだ。
この状態になるともうGUI側のvCenterサーバが起動されなくなり、 GUI側からのオペレーションを受け付けなくなりかなり追い込まれて いくことになる。
どうしようもなくなり、ネットを調べるとvCenterを別VMでrestoreする 方法が見つかりこちらも試してみるが、証明書が期限切れで最後のサービス 起動でセットアップが失敗してしてしまう。
dateコマンド等で日付をもどして証明書期限内と誤認識させてサービス 起動を試すがこちらもうまくいかず、ヤァ万策尽きたって状況。
しょうが無いのでこちらの方法はあきらめ元のvCenterで証明書を リセットする方法を試してみるとこちらはうまくいった。
ようやくvCenterがGUIで起動できるところまで復旧。
ただ、自己発行証明書なので使い勝手が悪くどうしてもちゃんとした 証明書にしたい。
ということでネットを調べるとどうも私が認識していた証明書の 割り当てがおかしい感じなのである。これが2つ目の罠。
CLIで最初に設定するサーバ証明書には fullchain.pemを指定し
(以前は cert.pemを指定した)、ルート証明書チェーンについては
chain.pem(以前はfullchain.pemを指定した)と指定し直すと
あっさり更新できた。
そもそも最初からこちらの指定パターンで設定していたら 何の問題もなく更新ができていた可能性が高い。
ファイル指定の件については3ヶ月後に再度検証してみることとするが、 かなり遠回りしたが無事目的が達成できてよかった。
