heartbleed
ESXi5.5でのOpenSSL HeartBleed脆弱性対処手順

対処方法として以下3点を行う必要があります。
Step1.OpenSSL脆弱性修正パッチの適用
Step2.SSL証明書の入れ替え
Step3.パスワードのリセット
Step4.vCenterServerへの再登録(ESXi再接続)


Step1.OpenSSL脆弱性修正パッチの適用
以下2種類のパッチが用意されています。
①ESXi 5.5 ESXi ESXi550-201404420
 ファイル名 : ESXi550-201404020.zip
 ※ESXi5.5.0アップデートなし用の修正パッチです。
②ESXi 5.5 U1 ESXi ESXi550-201404401
 ファイル名 : ESXi550-201404001.zip
 ※ESXi5.5.0 Update1用の修正パッチです。
1.修正パッチをデータストアに配置する
2.管理者権限ユーザ(root)でSSHまたはESX SHELLにログイン
3.修正パッチ適用

ESXi5.5.0アップデートなしの場合
# esxcli software profile update -d /vmfs/volumes/datastore/ESXi550-201404020.zip -p ESXi-5.5.0-20140401020s-standard
ESXi5.5.0 Update1の場合
# esxcli software profile update -d /vmfs/volumes/datastore1/ESXi550-201404001.zip -p ESXi-5.5.0-20140404001-standard

Step2.SSL証明書の入れ替え
1.管理者権限ユーザ(root)でSSHまたはESX SHELLにログイン
2.既存証明書をバックアップ
※注意※既存証明書のバックアップ先をデータストア等に行わないと、システム再起動時にファイルが失われます。
 # mv /etc/vmware/ssl/rui.crt /vmfs/volumes/datastore1/orig.rui.crt
 # mv /etc/vmware/ssl/rui.key /vmfs/volumes/datastore1/orig.rui.key
3.新しい証明書の生成
 # /sbin/generate-certificates
注意:: 下記メッセージが表示されますが、無視して問題ないメッセージです。:
WARNING: can't open config file: /usr/ssl/openssl.cnf
または
WARNING: can't open config file: /etc/pki/tls/openssl.cnf
 # ls -l
total 8
-rw-r--r--    1 root     root          1436 Apr 23 02:39 rui.crt
-r--------    1 root     root          1704 Apr 23 02:39 rui.key
4.ホストの再起動
 # reboot

Step3.パスワードのリセット
1.管理者権限ユーザ(root)でSSHまたはESX SHELLにログイン
2.rootユーザのパスワードを変更
※rootパスワードを変更
# passwd root
Changing password for root

You can now choose the new password or passphrase.

A valid password should be a mix of upper and lower case letters,
digits, and other characters.  You can use a 7 character long
password with characters from at least 3 of these 4 classes, or
a 6 character long password containing characters from all the
classes.  An upper case letter that begins the password and a
digit that ends it do not count towards the number of character
classes used.

A passphrase should be of at least 3 words, 8 to 40 characters
long, and contain enough different characters.

Alternatively, if noone else can see your terminal now, you can
pick this as your password: "xxxxxxxxxxxxxxxx".

※新しいパスワードを入力します
Enter new password: 
Re-type new password: 
passwd: password updated successfully

Step4.ホストの再接続

vSphere Web ClientからvCenter Serverに接続をすると次のメッセージが右下に表示されます。
「ホストのSSL証明書の認証が確認されていません。」

メッセージを閉じる
001
対象ホストを右クリック->接続
002
「はい」をクリック
003
「次へ」をクリック
004
ユーザー名、パスワードを入力し、「次へ」をクリック
005
「はい」をクリック
006
「次へ」をクリック
007
「次へ」をクリック
008
「終了」をクリック
009
情報参照元:
Resolving OpenSSL Heartbleed for ESXi 5.5 - CVE-2014-0160 (2076665)
VMware ESXi 5.5, Patch Release ESXi550-201404001 (2076120)
VMware ESXi 5.5, Patch Release ESXi550-201404020 (2076586)
CA証明書をESXiに適応する場合は以下の手順を参照
Configuring CA signed certificates for ESXi 5.x hosts (2015499)