VxRail: Certifikát SSL VxRail Manager lze nahradit po povolení nástroje vSphere Lifecycle Manager

Ve verzích VxRail 8.0.300 až 8.0.331 bude během povolení vLCM 1. den certifikát VxRail Manager nahrazen certifikátem vydaným VMCA. Tuto náhradu nelze vrátit zpět na certifikát podepsaný držitelem prostřednictvím uživatelského rozhraní doplňku VxRail.

Pokud se později certifikát kořenové certifikační autority systému vCenter změní, nástroj vCenter a nástroj VxRail Manager již nemusí certifikátům vzájemně důvěřovat, což způsobí selhání upgradu clusteru. Chcete-li nahradit certifikát VxRail Manager certifikátem podepsaným držitelem a importovat jej do úložiště důvěryhodných certifikátů vCenter, postupujte podle těchto pokynů KB.

Poznámka: Tento článek znalostní databáze se vztahuje pouze na standardní cluster VxRail. NEPOUŽÍVEJTE jej v prostředí VCF v systémech VxRail.

Pokud je certifikát VxRail Manager podepsán držitelem, proces upgradu clusteru automaticky aktualizuje nástroj VxRail Manager a úložiště důvěryhodných certifikátů vCenter pomocí jejich aktuálních certifikátů, aby bylo zajištěno, že si mohou navzájem důvěřovat.

Pokud je však certifikát VxRail Manager podepsán VMCA, proces upgradu clusteru nevynutí jeho změnu zpět na certifikát podepsaný držitelem a neobnoví úložiště důvěry. Pokud se však certifikát kořenové certifikační autority vCenter změní, nástroje vCenter a VxRail Manager si již navzájem nedůvěřují, což způsobí selhání upgradu clusteru.

Vraťte certifikát nástroje VxRail Manager na certifikát podepsaný držitelem a importujte aktualizovaný certifikát kořenové certifikační autority vCenter do nástroje VxRail Manager.

1. Přihlaste se do nástroje VxRail Manager.
2. Zadejte následující příkazy:

#cd /mystic/ssl

#mcp_python cert_util.py --regencert

#mcp_python cert_util.py

Poznámka:

• Pokud je povolena funkce vLCM, budete vyzváni k zadání přihlašovacích údajů správce vCenter a přihlašovacích údajů účtu root. 
• Možnost "--regencert" nejprve vygeneruje certifikát správce VxRail podepsaný držitelem a poté nahrajte nový certifikát správce VxRail do úložiště důvěryhodných certifikátů vCenter.
• Příkaz "cert_util.py" bez parametru importuje certifikát kořenové certifikační autority vCenter do úložiště důvěryhodných certifikátů VxRail Manager.
• Po provedení těchto dvou příkazů si nástroje vCenter a VxRail Manager mohou znovu důvěřovat se svými aktualizovanými certifikáty.

Jak zkontrolovat, zda je certifikát VxRail Manager podepsán držitelem.

Přihlaste se do nástroje VxRail Manager pomocí SSH a spusťte příkaz:

   #openssl s_client -showcerts -connect localhost:443 < /dev/null 2>/dev/null |grep 'issuer=' | awk -F'issuer=' '{print $2}' 

   #openssl s_client -showcerts -connect localhost:443 < /dev/null 2>/dev/null |grep 'subject=' | awk -F'subject=' '{print $2}'

   Check the output. If the output is the same, it is a self-signed certificate.

Dotčené verze:

• Ve verzích VxRail 8.0.300 až 8.0.331 může být během povolení vLCM 1. den certifikát VxRail Manager nahrazen certifikátem vydaným VMCA.
• Verze před 8.0.300 nejsou dotčeny, protože povolení vLCM během 1. dne není k dispozici. 
• Od verze 8.0.360 už povolení vLCM v den 1 neaktivuje automatické nahrazení certifikátu certifikátem vydaným VMCA, upgrade clusteru se k tomuto problému nevztahuje.