VMware

Home > VMware > ご案内

ESX 3.0.3、ESXi/ESX 3.5のセキュアキーのアップデートについて

2011.08.05

対象となるユーザ
ESX 3.0.3、ESXi/ESX3.5をご利用のユーザ
影響範囲
ESX 3.0.3、ESXi/ESX 3.5の環境で2011年6月2日以降にパッチを適用するには、あらかじめ以下のパッチの適用が必須となります。
2011年6月1日までに当パッチを適用されない場合、2011年6月2日以降、これまでにリリースされたパッチを含め、すべてのパッチを適用できなくなります。

ESXi 3.5    ESXe350-201012401-I-BG

ESX 3.5    ESX350-201012410-BG

ESX 3.0.3    ESX303-201102403-BG

対応方法
2011年6月1日までに前述のパッチを適用します。
2011年6月1日までに適用ができない場合は、後述する手順により適用してください。 注意事項を参照の上ご利用下さい。
2011年6月2日以降に当パッチを適用する手順
  1. ESXi /ESXのbuild 情報を確認します。
    # vmware -v
    VMware ESX Server 3.5.0 build-207095
  2. gpg キーを確認します。
    # cat /etc/vmware/keying/README
    ./pubring.gpg
    -------------
    pub   1024R/503E9A76 2007-06-02 [expires: 2012-05-31]
    uid        VMware, Inc. -- Bundle Signing Key -- <vmware-security-alert@vmware.com>

    pub   1024R/65E53DD0 2007-06-02 [expires: 2012-05-31]
    uid        VMware, Inc. -- Code Signing Key2 -- <vmware-security-alert@vmware.com>

    pub   1024R/4789B619 2007-06-02 [expires: 2011-06-01]
    uid        VMware, Inc. -- Code Signing Key -- <vmware-security-alert@vmware.com>

    pub   1024D/1329FCD7 2007-06-01 [expires: 2017-05-29]
    uid        VMware, Inc. -- Master Key -- <vmware-security-alert@vmware.com>
    sub   2048g/80DBE910 2007-06-01 [expires: 2017-05-29]


    4789B619のパブリック・キーは、2011年6月1日に期限切れとなります。
  3. 以下の手順により当パッチを適用します。
    これにより2011年6月2日以降も当パッチを適用することが可能です。

     注意
    • 「--nosigcheck」オプションは、当パッチおよび前提パッチの適用にのみご利用ください。
      同オプションをこれら以外のパッチの適用に利用された場合はサポート対象外となりますのでご注意ください。
    • ESXi の場合、Tech Support Modeにて、esxupdate コマンドを使用する必要があります。
    • 当パッチの前提パッチの適用においても「--nosigcheck」オプションを使用することが可能です。

    ■ESX 3.5 Update 5 の場合
    ESX Server 3.5 Update 5 および ESXi Sever 3.5 Update 5用の、Rollup CD imageが2011年6月30日にリリースされました。詳細は、以下の各KBを参照ください。 Rollup CD imageの適用により、Secure keyが更新され、今後のパッチの適用も可能となります。あらかじめRollup CDのisoイメージをCD-Rに焼いたあと、下記の手順でUpgradeして下さい。
    1. アップグレードに該当するESXをメンテナンスモードにして下さい。
    2. Rollup CDを該当するESXに挿入し、再起動して下さい。
    3. boot画面にて[Enter]キーを押下します。
    4. [CD Found]画面にて、メディアのテストを行う場合は[Test]を、テストを行わない場合は[Skip]を押下して下さい。
    5. [Welcome to the ESX Server 3.5 Installer]画面が表示されましたら、[Next]をクリックします。
    6. [Select Keyboard]にて任意のキーボードを選択し、[Next]をクリックします。
    7. [Mouse Configuration]にて任意のマウスを選択し、[Next]をクリックします。
    8. [Select Installation Type]にて[Upgrade]を選択し、[Next]をクリックします。
    9. [End User License Agreement]に同意し、[Next]をクリックします。
    10. [Advanced Option]を任意で設定し、[Next]をクリックします。
      ※ブート領域を変更することになるので、基本的には設定は行わない。
    11. アップグレードのサマリを確認し、[Next]をクリックします。
    12. アップグレードが開始されます。
    アップグレード後については、vSphere ClientからvCenter、またはESXに接続し、ESXを選択後、画面上部に表示されているビルド番号が317866になっている事を確認下さい。 また、メンテナンスモードが有効になっておりますので、メンテナンスモードを終了して下さい。

    なお、アップグレード対象のESXについてはアップグレード中、ダウンタイム が発生します。 アップグレード後、再起動は要求されません。 仮想マシンが共有ストレージ上にあれば別のESXにvMotionして頂ければ再起動 は必要ありません。
    vMotionが不可能な環境では、アップグレードを行う前に仮想マシンを停止し て頂く必要がございます。


    ■ESX 3.0.3、ESX 3.5 の場合
    esxupdateコマンドを「--nosigcheck」オプション付きで実行します。

    パッチのインストール例:
    # esxupdate --nosigcheck -b ESX350-201012410-BG update
    INFO: No repository URL specified, going with file:///root/ESX350-201012410-BG
    INFO: Configuring...
    INFO: Preparing to install ['ESX350-201012410-BG']...
    INFO: Downloading vmware-keying-data-1-20100930.noarch.rpm...
    INFO: Checking disk space and running test transaction...
    INFO: Running yum install <1 packages>...
    INFO: | Gathering header information file(s) from server(s)
    INFO: | Server: Bundle ESX350-201012410-BG
    INFO: | Finding updated packages
    INFO: | Downloading needed headers
    INFO: | vmware-keying-data-0-1-20 100% |=========================| 1.4 kB 00:00
    INFO: | Resolving dependencies
    INFO: | Dependencies resolved
    INFO: | I will do the following:
    INFO: | [update: vmware-keying-data 1-20100930.noarch]
    INFO: | Downloading Packages
    INFO: | Getting vmware-keying-data-1-20100930.noarch.rpm
    INFO: | Running test transaction:
    INFO: | Test transaction complete, Success!
    INFO: | vmware-keying-data 100 % done 1/2
    INFO: | Completing update for vmware-keying-data - 2/2
    INFO: | Updated: vmware-keying-data 1-20100930.noarch
    INFO: | Transaction(s) Complete
    INFO: Running esxcfg-boot to regenerate initrds...
    INFO: --- TOTALS: 1 packages installed, 0 pending or failed, 0 removed, 0 excluded ---
    INFO: Install of ['ESX350-201012410-BG'] succeeded.


    ■ESXi 3.5 の場合
    1. 作業開始に当たり、対象の ESXi ホストをメンテナンス・モードへ移行します。
    2. ESXe350-201012401-O-BG.zip をダウンロードします。
    3. ESXe350-201012401-O-BG.zip 内のESXe350-201012401-I-BG.zip を解凍します。
    4. データストア・ブラウザを使用し、解凍したパッチを “ESXe350-201012401-I-BG” ディレクトリごとデータストアへコピーします。
    5. Tech Support Mode にて、対象 ESXi ホストへログインします。
      (Tech Support Mode については KB 1003677 を参照してください。)
    6. コピーしたディレクトリを指定し、esxupdate コマンドを実行します。

      ~ # esxupdate --nosigcheck -v install /vmfs/volumes/datastore1/ESXe350-201012401-I-BG/
      Installing: 0%
      Installing: 14%
      Installing: 28%
      Installing: 42%
      Installing: 57%
      Installing: 71%
      Installing: 85%
      Installing: 100%
      Installing oem.tgz in alternate boot partition
      ~ #
    7. ESXi ホストを再起動します。
    8. キーが更新されたことを確認します。
      ここでTech Support Modeにて、対象ESXiホストへログインします。

      # cat /etc/vmware/keying/README
      ./pubring.gpg
      -------------
      pub   1024R/503E9A76 2007-06-02 [expires: 2017-05-29]
      uid        VMware, Inc. -- Bundle Signing Key -- <vmware-security-alert@vmware.com>

      pub   1024R/65E53DD0 2007-06-02 [expires: 2017-05-29]
      uid        VMware, Inc. -- Code Signing Key2 -- <vmware-security-alert@vmware.com>

      pub   1024R/4789B619 2007-06-02 [expires: 2017-05-29]
      uid        VMware, Inc. -- Code Signing Key -- <vmware-security-alert@vmware.com>

      pub 1024D/1329FCD7 2007-06-01 [expires: 2017-05-29]
      uid        VMware, Inc. -- Master Key -- <vmware-security-alert@vmware.com>
      sub   2048g/80DBE910 2007-06-01 [expires: 2017-05-29]
      Here the public key 4789B619 now has the expire date of : 2017-05-29
参考
2011年6月2日以降に通常の手順で当パッチの適用を試みた場合の出力結果を以下に示します。 Update Manager、esxupdate ともに、以下のエラーが表示されます。

# esxupdate -b ESX350-201012410-BG -l info
INFO: No repository URL specified, going with file:///root/ESX350-201012410-BG
ERROR: Integrity Error!
Signature 0BFA1C860F0B0A6CF5CD5D2AEE7835B14789B619: keyExpired: 4789B619
FAQ
Q. このパッチは必ず適用しなければならないものですか。
A. 2011年6月1日までの適用を推奨します。当パッチを適用されていない場合、通常運用に影響はありませんが、2011年6月2日以降、それまでにリリースされたパッチを含め、すべてのパッチを適用できなくなります。

Q. このパッチが公開された時点で2011年6月2日以降にパッチが適用できなくなることは判明していたと思いますが今回情報配信された経緯を教えてください。
A. パッチ適用期限となる2011年6月1日が近づいたことから、2011年6月2日以降に適用する手順とともにご案内するものです。

Q. 2011年6月2日以降の全てのパッチが適用できなくなるという現象の原因を教えてください。
A. セキュアキー(パッチのインストール時に関わるキー)が2011年6月1日に期限切れとなることによるものです。

Q. このパッチを2011年6月1日までに適用できない場合の回避策について教えてください。
A. 当ドキュメントの[2011年6月2日以降に適用する手順]を参照してください。

Q. パッチを適用する際に、ESXサーバの再起動は必要ですか。
A. ESX 3.0.3、ESX3.5は不要です。ESXi3.5は必要となります。(各KBの[Host Reboot Required]の項を参照してください)。

Q. パッチ適用時、ESXサーバ上で動いている仮想マシンに影響は出ますか。
A. ESXサーバの再起動の必要性に準じます(各KBの[Host Reboot Required]の項を参照してください)。

Q. パッチを適用する際に、メンテナンスモードへの移行は必要ですか。
A. ESXi 3.5では必要となります。ESX 3.0.3、ESX3.5では不要です。

Q. ESXサーバを新規インストールする場合の対応について教えてください。
A. ESXのインストールメディアからインストールした後、当パッチを「--nosigcheck」オプション付きでインストールして下さい。その後、必要なパッチをインストールして下さい。

Q. 6月2日以降、その日以降にリリースされたパッチのみが適用できなくなりますか。
あるいは、6月1日以前にリリースされたパッチを含む、すべてのパッチが適用できなくなりますか。
A. 6月1日以前にリリースされたパッチを含む、全てのパッチが適用できなくなります。

Q. ESX 3.5 Update 1とUpdate 2の環境にもこのパッチを適用する必要がありますか。
A. 他のパッチを適用する場合、前提として当パッチの適用が必要となります。

Q. ESX 3.0.2環境での対応方法を教えてください。
A. サポート期間外のバージョンとなるため、対応は予定しておりません。サポート期間中の上位バージョンへのアップグレードをお願いします。

page up