VxRail: El certificado SSL de VxRail Manager se puede reemplazar después de habilitar vSphere Lifecycle Manager
Summary: En las versiones 8.0.300 a 8.0.331 de VxRail, durante la habilitación de vLCM del día 1, el certificado de VxRail Manager se reemplazará por uno emitido por VMCA. Más adelante, si cambia el certificado de CA raíz de vCenter, es posible que vCenter y VxRail Manager ya no confíen en los certificados del otro, lo que provoca una falla en la actualización del clúster. ...
Symptoms
En las versiones 8.0.300 a 8.0.331 de VxRail, durante la habilitación de vLCM del día 1, el certificado de VxRail Manager se reemplazará por uno emitido por VMCA. Este reemplazo no se puede revertir a un certificado autofirmado a través de la interfaz de usuario del plug-in de VxRail.
Más adelante, si cambia el certificado de CA raíz de vCenter, es posible que vCenter y VxRail Manager ya no confíen en los certificados del otro, lo que provoca una falla en la actualización del clúster. Debe seguir estas instrucciones de la base de conocimientos para reemplazar el certificado de VxRail Manager por un certificado autofirmado e importarlo al almacén de confianza de vCenter.
Nota: Este artículo de la base de conocimientos solo se aplica al clúster de VxRail estándar, NO lo utilice en el entorno de VCF on VxRail.
Cause
Si el certificado de VxRail Manager está autofirmado, el proceso de actualización del clúster actualizará automáticamente el VxRail Manager y el almacén de confianza de vCenter con sus certificados actuales, para asegurarse de que puedan confiar entre sí.
Sin embargo, si el certificado de VxRail Manager está firmado por VMCA, el proceso de actualización del clúster no forzará el cambio a autofirmado ni actualizará los almacenes de confianza, por lo que si se cambia el certificado de CA raíz de vCenter, vCenter y VxRail Manager ya no confían en los certificados del otro, lo que provoca una falla en la actualización del clúster.
Resolution
Revierta el certificado de VxRail Manager a uno autofirmado e importe el certificado de CA raíz de vCenter actualizado a VxRail Manager.
1. Inicie sesión en VxRail Manager.
2. Ejecute los siguientes comandos:
#cd /mystic/ssl
#mcp_python cert_util.py --regencert
#mcp_python cert_util.pyNota:
- Se le solicitará que ingrese las credenciales de administrador de vCenter y las credenciales de la cuenta raíz si vLCM está habilitado.
- La opción "--regencert" primero genera un certificado de VxRail Manager autofirmado y, a continuación, carga el nuevo certificado de VxRail Manager en el almacén de confianza de vCenter.
- El comando "cert_util.py" sin ningún parámetro importará el certificado de CA raíz de vCenter al almacén de confianza del administrador de VxRail.
- Después de estos dos comandos, vCenter y VxRail Manager pueden volver a confiar entre sí con sus certificados actualizados.
Additional Information
Cómo comprobar si el certificado de VxRail Manager está autofirmado.
Acceda mediante SSH a VxRail Manager y ejecute lo siguiente:
#openssl s_client -showcerts -connect localhost:443 < /dev/null 2>/dev/null |grep 'issuer=' | awk -F'issuer=' '{print $2}'
#openssl s_client -showcerts -connect localhost:443 < /dev/null 2>/dev/null |grep 'subject=' | awk -F'subject=' '{print $2}'
Check the output. If the output is the same, it is a self-signed certificate.
Versiones afectadas:
- En las versiones 8.0.300 a 8.0.331 de VxRail, durante la habilitación de vLCM del día 1, el certificado de administrador de VxRail se puede reemplazar por uno emitido por VMCA.
- Las versiones anteriores a 8.0.300 no se ven afectadas, ya que la habilitación de vLCM durante el día 1 no está disponible.
- A partir de la versión 8.0.360, habilitar vLCM en el día 1 ya no activa el reemplazo automático del certificado por uno emitido por VMCA, la actualización del clúster no abordará este problema.