VxRail: Il certificato SSL di VxRail Manager può essere sostituito dopo l'abilitazione di vSphere Lifecycle Manager

In VxRail dalla versione 8.0.300 alla 8.0.331, durante l'attivazione vLCM nel giorno 1, il certificato di VxRail Manager verrà sostituito da uno emesso da VMCA. Questa sostituzione non può essere ripristinata in un certificato autofirmato tramite l'interfaccia utente del plug-in VxRail.

Successivamente, se il certificato CA root di vCenter cambia, vCenter e VxRail Manager potrebbero non considerare più attendibili i certificati reciproci, causando un errore di aggiornamento del cluster. È necessario seguire queste istruzioni della KB per sostituire il certificato VxRail Manager con un certificato autofirmato e importarlo nell'archivio attendibilità vCenter.

Nota: Questo articolo della KB si applica solo al cluster VxRail standard, NON utilizzarlo in ambiente VCF on VxRail.

Se il certificato di VxRail Manager è autofirmato, il processo di upgrade del cluster aggiornerà automaticamente VxRail Manager e l'archivio attendibilità di vCenter con i relativi certificati correnti, per assicurarsi che possano essere considerati reciprocamente affidabili.

Tuttavia, se il certificato di VxRail Manager è firmato da VMCA, il processo di upgrade del cluster non forzerà la sua nuova configurazione in stato autofirmato e ad aggiornare i truststore, pertanto, se il certificato CA root di vCenter viene modificato, vCenter e VxRail Manager non considerano più attendibili i certificati reciproci, causando un errore di upgrade del cluster.

Ripristinare il certificato autofirmato di VxRail Manager e importare il certificato CA radice di vCenter aggiornato in VxRail Manager.

1. Accedere a VxRail Manager.
2. Eseguire i comandi seguenti:

#cd /mystic/ssl

#mcp_python cert_util.py --regencert

#mcp_python cert_util.py

Nota:

• Verrà richiesto di immettere le credenziali di amministratore vCenter e le credenziali dell'account root se vLCM è abilitato. 
• L'opzione "--regencert" genera prima un certificato VxRail Manager autofirmato, quindi carica il nuovo certificato VxRail Manager nell'archivio attendibilità vCenter.
• Il comando "cert_util.py" senza alcun parametro importerà il certificato CA radice di vCenter nell'archivio dei certificati attendibili di VxRail Manager.
• Dopo questi due comandi, vCenter e VxRail Manager possono nuovamente considerare attendibili l'uno dell'altro con i rispettivi certificati aggiornati.

Come verificare se il certificato VxRail Manager è autofirmato.

Connettersi tramite SSH a VxRail Manager ed eseguire:

   #openssl s_client -showcerts -connect localhost:443 < /dev/null 2>/dev/null |grep 'issuer=' | awk -F'issuer=' '{print $2}' 

   #openssl s_client -showcerts -connect localhost:443 < /dev/null 2>/dev/null |grep 'subject=' | awk -F'subject=' '{print $2}'

   Check the output. If the output is the same, it is a self-signed certificate.

Versioni interessate:

• Nella versione VxRail da 8.0.300 a 8.0.331, durante l'abilitazione vLCM del giorno 1, il certificato di VxRail Manager può essere sostituito da uno emesso da VMCA.
• Le versioni precedenti alla 8.0.300 non sono interessate in quanto l'abilitazione di vLCM durante il giorno 1 non è disponibile. 
• A partire dalla versione 8.0.360, l'abilitazione di vLCM nel giorno 1 non attiva più la sostituzione automatica del certificato con uno emesso da VMCA, l'aggiornamento del cluster non riscontrerà questo problema.