Saturday, September 27, 2014, 14:14 - Misc
Posted by ELIN
vCenter Server 5.5(以下vCS)でvCSが作ったオレオレ証明書ではなく、オレのオレオレ証明書を使おうとしたら色々と大惨事になった
そもそもvCS 5.5は5.1とはMajor Versionこそ一緒だが、全く別物の構造のようで5.1の情報はアテにしてはいけないことに気付くのに時間がかかった

各種証明書は探せば簡単に見付けることができる
しかしESXiのようにrui.*を入れ替えればいけるんじゃね?という安易な発想を行動に移すとその瞬間に再インストールが確定する
vCSの証明書を正しく入れ替えるにはお経のような長くて面倒くさい意味不明の手順を正確にこなさなければいけない
もし手順を1つでも間違うとその瞬間に再インストールが確定する

さて、証明書を入れ替えるにはvCenter Certificate Automation Tool 5.5(以下vCCAT)を使用する
このツールに関わる情報は
http://kb.vmware.com/selfservice/search.do?cmd=displayKC&docType=kc&docTypeID=DT_KB_1_1&externalId=2057340
http://kb.vmware.com/selfservice/microsites/search.do?language=en_US&cmd=displayKC&externalId=2080418
http://d.hatena.ne.jp/ogawad/20130524/1369355700
https://sites.google.com/site/63rabbits2/virtual/vmwareview/vcenter-server/vc_setting
等、どれも内容はほぼ同一だがともかく

簡単に目を通すとおかしいことに気付く
vCCATそのものの情報というよりは証明書そのものに関わる情報が大半を占めていて、肝心のvCCATを使用する部分がこれらを読んでもイマイチイメージできない
従ってどの程度のコストで本当に要件が達成できるのかが予測できないままやることになる

結論から言えばvCCATは署名要求を簡単に作成できる機能と、各種サービスの証明書の更新を一応行うことができる
この更新は署名要求の手順を飛ばしても可能で、つまり既に署名された証明書も更新に用いることも可能だ(と思う、未検証)

大まかな流れはまずvCCATで各種署名要求を作成する
この各種というのは通常であれば
・Single Sign-On
・Inventory Service
・vCenter Server
・vCenter Orchestrator
・Web Client
・Log Browser
・Update Manager
の7種を指す
これら全ての署名要求を承認したら各自身の証明書、及びルートCAまでの証明書を合わせたファイル、いわゆるチェイン証明書を作成した上で各サービスへ"認証し、証明書と鍵のファイルを指定"し更新作業を行う
これはつまり最低でも7回の同じことを繰り返すという頭の悪い作業をするということになる

それでは実際の手順
今回の要件となるのはオレオレ認証局が既に署名しているオレオレ中間認証局がvCSの7つの署名要求を承認し、その証明書を使用すること

最初にvCCATを持ってきてC:\vCCATに展開し、署名要求の作成を行う
ssl-updater.batを管理者権限で実行して"2. Generate Certificate Signing Requests"を選択した後、1~7(8は恐らく不必要だが)までの7回、全て同じことを行うという頭の悪い方法で作成する
このとき入力するパラメータに関してはssl-environment.bat(の281行以降)を変更することである程度簡略化することはできる

このような頭の悪いことをやっていると頭が悪くなってしまうので、ssl-environment.batを編集した後に管理者権限で実行したcmd.exeにて
> cd C:\vCCAT
> (ECHO 2&(FOR /L %I IN (1,1,7) DO @ECHO %I&FOR /L %J IN (1,1,9) DO @ECHO;)&ECHO 9&ECHO 9) >input.tmp
> ssl-updater.bat <input.tmp

と、すれば頭の悪い作業を回避できる
ただ一度ファイルに書いているのがこの方法の頭の悪いところで、これはcmd.exeの"SET /P VAR="の動作の頭の悪さが原因なのだが、もしこれを回避できる方法を誰か知っていたら教えて下さい

次は作成した署名要求を承認するのだが、この機能は前述しているURLを見ればわかる通り、頭の悪いvCCATにはない
ただvCCATはopensslのバイナリを含んでいるので、1つ1つファイルを移動(選択)して1つ1つ署名した後にそれらを1つ1つ移動(保存)する、というようなとてつもなく頭の悪い作業を行う必要はない

このopensslで署名作業を行いにはいくつかの準備が必要になる
vCCATはopensslのバイナリこそ含んではいるが、openssl.cfgを含んでいない
従ってこれを入手する必要がある
> powershell (New-Object System.Net.WebClient).DownloadFile(\"http://git.openssl.org/gitweb/?p=openssl.git;a=blob_plain;f=apps/openssl.cnf;hb=f71d59c70ed65beaa51de719848901284bb1fd04\",\"$pwd/tools/openssl/openssl.cnf\")
このようにwget的なことを実行する

そして要求されるディレクトリとファイルを一時的に作成し
> MKDIR demoCA\newcerts
> COPY /Y NUL demoCA\index.txt
> ECHO 01 >demoCA\serial


オレオレ中間認証局の証明書と鍵を持ってきてC:\vCCATに置く
ファイル名はica.crtとica.keyとし
> SET CA=ica
> FOR /D %I IN (requests\*) DO (ECHO y&ECHO y)|tools\openssl\openssl.exe ca -in %I\rui.csr -keyfile %CA%.key -cert %CA%.crt -out %I\rui.crt -config tools\openssl\openssl.cnf

これで全ての署名要求が承認され、同ディレクトリ以下に証明書が作成される

そしてそれらの証明書チェインを作成する
証明書チェインはルートCAまでの証明書全てを含む必要があるので、今回の場合はオレオレ認証局の証明書も持ってきて、これをca.crtとした上で
> SET CHAIN=ica.crt ca.crt
> FOR /D %I IN (requests\*) DO @(FOR %J IN (%I\rui.crt %CHAIN%) DO @tools\openssl\openssl.exe x509 -in %J) >%I\chain.pem

これで各証明書チェインが作成され、証明書の更新準備が整った

さて、肝心の更新作業となるが、これは今までで最も頭が悪い
vCCAT(ssl-updater.bat)を実行し、1を選択した後、今回は全ての更新作業を行うので8を選択する

何か理解不能の出力が出てくるが、これは何なのかというと作業順番である
つまり18の作業順番を正しく行わなければ爆発して二度とログインできなくなって再インストールすることになるので、なんと作業順番を表示してくれるわけだ
明示しておくと作業順番を表示してくれるだけで、他は何もしてくれない
メインメニューの3以降を総当たりで全て手動で実行しなければならないという、とてつもなく頭の悪い方法で更新しなければならないというわけだ

更にその内容も非常に頭が悪い
何か行おうとする度に証明書とその鍵のパス、管理者アカウントとそのパスワードなど、同じ内容を延々入力し続けることを要求される
例えば入力のログを取るとこのような感じになる (テストされたものではないので、間違っても流さないこと)
入力内容はssl-environment.batを編集することで入力を簡略化できるとは言え、それを踏まえても頭が悪いに尽きる
しかし色々と考えはしたものの、他に有効な方法があるわけでもないのでssl-environment.batを編集してお茶を濁すことになるのだが……

編集すべき項目を挙げると
・*_cert_chain
・*_private_key*
・sso_admin_user
・vc_username

このうち証明書関連に関しては、もし記述した手順通り作業を行っていて、かつ証明書を生成したときと同一のプロセスのcmd.exe(要するに閉じていない場合)が使用できるならば
> CMD /V:ON /C FOR %I IN (sso is vc vco ngc log-browser vum) DO @(FOR /D %J IN (%CD%\requests\*!%I_organizational_unit_name!*) DO @ECHO SET %I_cert_chain=%J\chain.pem^&IF "%I"=="is" (ECHO SET %I_private_key_new=%J\rui.key) ELSE ECHO SET %I_private_key=%J\rui.key) >>ssl-environment.bat
このような雑な方法で書き足すことができる
もしこの方法が使用できないなら
> FOR /D %I IN (requests\*) DO @ECHO %CD%\%I\chain.pem&ECHO %CD%\%I\rui.key
このように出力させ、素直にコピペで対応する

最後のvc_usernameに関しては
rem # Example:
rem # vc_username=administrator

と、書いてあるもののsso_admin_userと同じ値の"administrator@vsphere.local"とするのが正しい
語弊があるが、ともかく初期状態ならば正しい

またsso_admin_userで毎回の入力を省けるものの、パスワードの方は内部的にsso_admin_passwordとsso_master_passwordが使用されているが、これは迷惑なことに毎回クリアしてくれるので、インストール直後の状態だとクソどうでもいいポリシーによってただストレスを倍増させるだけのクソ長いゴミのようなパスワードを入力し続けるという頭の極めて悪い作業を強制されるので、先に"a"とかにしておこう

あとは頭の悪い手順に従って頭の悪い作業を1つのミスもなくこなせば無事証明書は更新される
1つでも間違うと死ぬ

ちなみに
 Review the `Prerequisites for Installing vCenter Server' secion in the vSphere Documentation Center.
ERROR: One or more required parameters are not set or have invalid values:
- The leaf certificate doesn't have any CN or subjectAltName that matches any known IP address of the current machine. Rejecting the chain. To skip this check, set the `ssl_tool_no_cert_san_check' environment variable to 1.

このようなエラーで弾かれる場合は英語で書いてあるとおりssl_tool_no_cert_san_checkを1にしよう
それ以外のエラーで弾かれる場合はもうそれ死んでるから再インストールしよう
1 comment ( 22480 views )

<Back | 1 | 2 | 3 | 4 | Next> Last>>