説明¶

当対応を行うことで、証明書更新スプリクト実行日から有効期限が更新された自己証明書が再生成されます。今後、毎年当スクリプトの実行をせずに自動的にRancherの証明書の期限が更新できるよう対応を検討しています。

〇再生成される自己証明書の有効期限

• 21.01以前：スプリクト実行から12か月後
• 21.04以降：現在の証明書期限から11か月後

注意事項¶

手順の中で、Rancherの自己証明書の再生成に伴い、Rancher関連のDockerコンテナの再起動が行われます。スプリクト実行中は一時的にRancher管理コンソールやEricom Shieldサービスのステータス確認スクリプトや開始/停止スクリプトが利用できない状態となります。Shield管理コンソールやShieldブラウジング等、ユーザ利用に対しての機能には影響はございません。

手順¶

1：Rancher自己証明書の期限切れであることを確認

以下の動作状況の場合、Rancher自己証明書の期限が切れている状況となります。

・Ericom Shield経由でWebサイトをが閲覧可能。

・Ericom Shield管理コンソール(30181)にログイン可能。

・Rancher管理コンソール(8443)にアクセス不可（https://<RancherサーバIP>:8443/）。

・以下、コマンドを実行した結果にて「notAfter」値が本日時点の日付よりも過去の日付。

$ sudo openssl x509 -dates -noout -in ~/ericomshield/rancher-store/k3s/server/tls/client-admin.crt

実行例：
kkauser@sh01:~$ sudo ls ~/ericomshield/rancher-store/k3s/server/tls/ | grep .crt | xargs -I {} sh -c "echo {}; sudo openssl x509 -dates -noout -in ~/ericomshield/rancher-store/k3s/server/tls/{}; echo"^C
kkauser@sh01:~$ sudo openssl x509 -dates -noout -in ~/ericomshield/rancher-store/k3s/server/tls/client-admin.crt
notBefore=Sep 26 01:41:05 2022 GMT
notAfter=Sep 26 01:41:05 2023 GMT

2：Rancher自己証明書の更新スプリクトをダウンロードして実行

$ curl -O https://ericom-tec.ashisuto.co.jp/shield/rotate-rancher-certificate.sh
$ chmod 755 ./rotate-rancher-certificate.sh
$ sudo -E ./rotate-rancher-certificate.sh

3：Dockerサービスを再起動

以下コマンドでDockerサービスを再起動してください。Dockerサービス再起動時にはShieldサービスも再起動されますので、ユーザ利用がない時間帯にて、実施をお願いします。

$ sudo systemctl restart docker.service docker.socket

4：Rancher管理コンソール(8443)にログインが可能であることを確認します。

https://<RancherサーバIP>:8443/login

こちらの確認の時点で正常にRancher管理コンソール(8443)が表示されない場合やログインができない状態の場合にはRancherの役割を持つサーバの再起動(sudo reboot)を一度、お試しください。

5：Shieldが正常に可能な状態であることを確認します。

以下の点について確認をお願いします。

• [shield-status.sh]にてShield関連のworkloadsが全て起動していることを確認。

  $ ~/ericomshield/shield-status.sh
  

• クライアント環境からshieldブラウザが正常に利用可能であることを確認。