2015年11月1日日曜日

vRealize Operations Managerで、512bitのSSL証明書を使ったvCenter Serverと接続する

先日出会わしたトラブルについて、そのソリューションをご紹介します。

vRealize Operations Manager(vROps)を設置しようと、vCenter ServerのIPをいれて登録しようとしたところ、「java.security.cert.certificateexception」が表示され、vCenter Serverと接続ができない症状が発生。

接続先のvCenter Serverは、5.1とのことで、そんなに古くない。
(というか、vROpsは、vCenter Server 4.0からサポートされている)

さてさて、このExceptionは、およそJAVAまわりで出ていて、vROpsの問題ではないように思えます。

JREの問題で、512bitのような証明書は、デフォルトで受け付けられないようになっています。

まずは、vCenter ServerのSSL証明書を調べます。

C:\ProgramData\VMware\VMware VirtualCenter\SSL\rui.crt

を確認して、証明書のビット数を確認します。

ジャスト512bitでした。

どうも、vCenter Server 4.xからアップグレードをしたようで、アップグレードの場合前までの証明書が継続して使われるため、512bitのままで動作していたようです。

※確かに、FireFox等でvSphere Web Clinetでも、証明書セキュリティで画面が表示されませんでした


512bitの証明書は確かに古いですが、かといって本番環境でvCenter ServerのSSL証明書を入れ直すとなれば、入っているプラグインやvCenter Serverと連携するアプライアンスで証明書の際受け入れを行う必要があり、これはこれで結構大変な話しです。

ということで、JREのセキュリティパラメーターを変更することで、この問題を回避することができます。


≪ 方法 ≫

1.まずvROpsのアプライアンスにシェルでログインします。
2.以下のファイルをvi等のエディタで開きます。
/usr/java/jre-vmware/lib/security/java.security
3.以下の項を探します。
Security.setProperty="jdk.certpath.disabledAlgorithms=MD2,RSAjeySize < 1024"
4.1024を512に書き換えて、保存終了します。
Security.setProperty="jdk.certpath.disabledAlgorithms=MD2,RSAjeySize < 512"
5.vROpsアプライアンスを再起動します。


これで、OKです。

5年前後の仮想化基盤リプレースで、vROpsでリソース情報を収集して、最適なサイジングを!と思いながら、vROpsを導入しようとすると、こういったことに出くわすことはあるかと思います。

おそらくこの手法は、正式にメーカーサポートされない可能性がありますので、行う場合は自己責任にてよろしくお願い致します。





0 件のコメント:

コメントを投稿