VxRail: Das VxRail Manager-SSL-Zertifikat kann nach der Aktivierung von vSphere Lifecycle Manager ersetzt werden

In den VxRail-Versionen 8.0.300 bis 8.0.331 wird während der vLCM-Aktivierung an Tag 1 das VxRail Manager-Zertifikat durch ein von VMCA ausgestelltes Zertifikat ersetzt. Diese Ersetzung kann nicht über die Benutzeroberfläche des VxRail-Plug-ins auf ein selbstsigniertes Zertifikat zurückgesetzt werden.

Wenn sich das vCenter-Root-CA-Zertifikat später ändert, vertrauen vCenter und VxRail Manager den Zertifikaten des jeweils anderen möglicherweise nicht mehr, was zu einem Fehler beim Clusterupgrade führt. Sie müssen diese Wissensdatenbank-Anweisung befolgen, um das VxRail Manager-Zertifikat durch ein selbstsigniertes Zertifikat zu ersetzen und es in den vCenter-Vertrauensspeicher zu importieren.

Hinweis: Dieser Wissensdatenbank-Artikel gilt nur für standardmäßige VxRail-Cluster. Verwenden Sie ihn NICHT in VCF auf VxRail-Umgebungen.

Wenn das VxRail Manager-Zertifikat selbstsigniert ist, aktualisiert der Cluster-Upgradeprozess automatisch den VxRail Manager und den vCenter-Vertrauensspeicher mit ihren aktuellen Zertifikaten, um sicherzustellen, dass sie sich gegenseitig vertrauen können.

Wenn das VxRail Manager-Zertifikat jedoch VMCA-signiert ist, wird der Cluster-Upgradeprozess nicht erzwingen, es wieder in selbstsigniert zu ändern und die Vertrauensspeicher zu aktualisieren. Wenn also das vCenter-Root-CA-Zertifikat geändert wird, vertrauen vCenter und VxRail Manager den Zertifikaten des jeweils anderen nicht mehr, was zum Fehlschlagen des Clusterupgrades führt.

Setzen Sie das VxRail Manager-Zertifikat auf ein selbstsigniertes Zertifikat zurück und importieren Sie das aktualisierte vCenter-Root-CA-Zertifikat in VxRail Manager.

1. Melden Sie sich bei VxRail Manager an.
2. Führen Sie die folgenden Befehle aus:

#cd /mystic/ssl

#mcp_python cert_util.py --regencert

#mcp_python cert_util.py

Hinweis:

• Sie werden aufgefordert, die vCenter-Administratorzugangsdaten und die Root-Kontozugangsdaten einzugeben, wenn vLCM aktiviert ist. 
• Die Option "--regencert" erzeugt zunächst ein selbstsigniertes VxRail Manager-Zertifikat und lädt dann das neue VxRail Manager-Zertifikat in den vCenter-Vertrauensspeicher hoch.
• Mit dem Befehl "cert_util.py" ohne Parameter wird das vCenter-Root-CA-Zertifikat in den VxRail Manager-Vertrauensspeicher importiert.
• Nach diesen beiden Befehlen können sich vCenter und VxRail Manager mit ihren aktualisierten Zertifikaten wieder gegenseitig vertrauen.

So überprüfen Sie, ob das VxRail Manager-Zertifikat selbstsigniert ist.

Stellen Sie eine SSH-Verbindung zu VxRail Manager her und führen Sie Folgendes aus:

   #openssl s_client -showcerts -connect localhost:443 < /dev/null 2>/dev/null |grep 'issuer=' | awk -F'issuer=' '{print $2}' 

   #openssl s_client -showcerts -connect localhost:443 < /dev/null 2>/dev/null |grep 'subject=' | awk -F'subject=' '{print $2}'

   Check the output. If the output is the same, it is a self-signed certificate.

Betroffene Versionen:

• In den VxRail-Versionen 8.0.300 bis 8.0.331 kann während der vLCM-Aktivierung an Tag 1 das VxRail Manager-Zertifikat durch ein von VMCA ausgestelltes Zertifikat ersetzt werden.
• Versionen vor 8.0.300 sind nicht betroffen, da die Aktivierung von vLCM während Tag1 nicht verfügbar ist. 
• Ab Version 8.0.360 löst die Aktivierung von vLCM an Tag 1 nicht mehr den automatischen Austausch des Zertifikats durch ein von VMCA ausgestelltes Zertifikat aus. Dieses Problem tritt bei einem Clusterupgrade nicht auf.