VxRail: VxRail Manager SSL-certifikat kan udskiftes efter aktivering af vSphere Lifecycle Manager

I VxRail-version 8.0.300 til 8.0.331 vil VxRail Manager-certifikatet under aktivering af dag 1 vLCM blive erstattet af et VMCA-udstedt certifikat. Denne erstatning kan ikke gendannes til et selvsigneret certifikat via brugergrænsefladen for VxRail-plugin.

Hvis vCenter-rod-CA-certifikatet senere ændres, har vCenter- og VxRail-manageren muligvis ikke længere tillid til hinandens certifikater, hvilket forårsager fejl ved klyngeopgradering. Du skal følge denne KB-vejledning for at erstatte VxRail Manager-certifikatet med et selvsigneret certifikat og importere det til vCenter-tillidslageret.

Bemærk: Denne KB gælder kun for standard VxRail-klynge. Brug den IKKE i VCF på VxRail-miljøer.

Hvis VxRail Manager-certifikatet er selvsigneret, opdaterer klyngeopgraderingsprocessen automatisk VxRail Manager og vCenter Trust Store med deres aktuelle certifikater for at sikre, at de kan stole på hinanden.

Men hvis VxRail Manager-certifikatet er VMCA-signeret, tvinger klyngeopgraderingsprocessen ikke til at ændre det tilbage til selvsigneret og opdatere tillidslagrene, så hvis vCenter-rod-CA-certifikatet ændres, stoler vCenter og VxRail Manager ikke længere på hinandens certifikater, hvilket forårsager fejl ved klyngeopgradering.

Gendan VxRail Manager-certifikatet til et selvsigneret certifikat, og importer det opdaterede vCenter CA-rodcertifikat til VxRail Manager.

1. Log på VxRail Manager.
2. Kør følgende kommandoer:

#cd /mystic/ssl

#mcp_python cert_util.py --regencert

#mcp_python cert_util.py

Bemærk:

• Du bliver bedt om at indtaste vCenter-administratorlegitimationsoplysninger og rodkontooplysninger, hvis vLCM er aktiveret. 
• Indstillingen "--regencert" genererer først et selvsigneret VxRail Manager-certifikat og overfører derefter det nye VxRail Manager-certifikat til vCenter-tillidslageret.
• Kommandoen "cert_util.py" uden nogen parameter importerer CA-rodcertifikatet til VxRail Manager-tillidslageret.
• Efter disse to kommandoer kan vCenter og VxRail Manager igen stole på hinanden med deres opdaterede certifikater.

Sådan kontrollerer du, om VxRail Manager-certifikatet er selvsigneret.

SSH til VxRail Manager og kør:

   #openssl s_client -showcerts -connect localhost:443 < /dev/null 2>/dev/null |grep 'issuer=' | awk -F'issuer=' '{print $2}' 

   #openssl s_client -showcerts -connect localhost:443 < /dev/null 2>/dev/null |grep 'subject=' | awk -F'subject=' '{print $2}'

   Check the output. If the output is the same, it is a self-signed certificate.

Påvirkede versioner:

• I VxRail-version 8.0.300 til 8.0.331 kan VxRail Manager-certifikatet under aktivering af dag 1 vLCM erstattes af et VMCA-udstedt certifikat.
• Versioner før 8.0.300 påvirkes ikke, da aktivering af vLCM på dag 1 ikke er tilgængelig. 
• Fra og med version 8.0.360 udløser aktivering af vLCM på dag 1 ikke længere automatisk udskiftning af certifikatet med et VMCA-udstedt certifikat. Klyngeopgradering vil ikke opstå i dette problem.