vCenter Server、ESXi 6.x および 7.0.x で期限切れの SSL 証明書の有効期限を確認するコマンド

vCenter Server、ESXi 6.x および 7.0.x で期限切れの SSL 証明書の有効期限を確認するコマンドに関する情報です。

警告:

証明書を変更する前に、SSO ドメインの適切なスナップショットを取得していることを確認してください。これは、SSO ドメインにあるすべての vCenter または PSC を同時にシャットダウンし、スナップショットを作成して、再度電源を入れる必要があることを意味します。これらのスナップショットのいずれかに戻す必要がある場合は、すべてのノードをシャットダウンし、すべてのノードをスナップショットに戻します。これらの手順を実行しないと、PSC データベース全体でレプリケーションの問題が発生します。

vCenter Server 証明書の有効期限の確認
Single Sign-on Token Signing (STS) 証明書を確認します。 vCenter Server での STS 証明書の有効期限の確認を参照してください。
お使いの環境で次のコマンドを実行します。
vCenter Appliance : コンソールウィンドウまたは SSH セッションで、vCenter VM に対して次のコマンドを実行します。

for store in $(/usr/lib/vmware-vmafd/bin/vecs-cli store list | grep -v TRUSTED_ROOT_CRLS); do echo "[*] Store :" $store; /usr/lib/vmware-vmafd/bin/vecs-cli entry list --store $store --text | grep -ie "Alias" -ie "Not After";done;

ESXi 証明書の有効期限の確認
SSH を使用して、root ユーザーとして ESXi にログインします。
次のコマンドを実行します:

openssl x509 -noout -in /etc/vmware/ssl/rui.crt -enddate

例
openssl x509 -noout -in /etc/vmware/ssl/rui.crt -enddate
notAfter=Aug 24 21:48:47 2023 GMT

特に問題になるのがvCenterですが、以下のコマンドで有効期限を確認できました。

for store in $(/usr/lib/vmware-vmafd/bin/vecs-cli store list | grep -v TRUSTED_ROOT_CRLS); do echo "[*] Store :" $store; /usr/lib/vmware-vmafd/bin/vecs-cli entry list --store $store --text | grep -ie "Alias" -ie "Not After";done;

情報元

vCenter Server と ESXi 6.x および 7.0.x で期限切れの SSL 証明書を特定する (2015600)

https://kb.vmware.com/s/article/2015600