「VxRail：vSphere Lifecycle Managerを有効にした後で、VxRail Manager SSL証明書が置き換えられることがある

VxRailバージョン8.0.300から8.0.331では、Day1のvLCM有効化中に、VxRail Manager証明書がVMCA発行の証明書に置き換えられます。この置き換えをVxRailプラグインUIを使用して自己署名証明書に戻すことはできません。

その後、vCenterルートCA証明書が変更されると、vCenterとVxRail Managerが互いの証明書を信頼しなくなり、クラスターのアップグレードが失敗する可能性があります。VxRail Manager証明書を自己署名証明書に置き換え、vCenterトラスト ストアにインポートするには、このKBの手順に従う必要があります。

注：このKBは標準のVxRailクラスターにのみ適用されます。VCF on VxRail環境では使用しないでください。

VxRail Manager証明書が自己署名されている場合、クラスターのアップグレード プロセスによって、VxRail ManagerとvCenterトラスト ストアが現在の証明書で自動的に更新され、相互に信頼できることが確認されます。

ただし、VxRail Manager証明書がVMCA署名されている場合、クラスター アップグレード プロセスでは、証明書を強制的に自己署名に戻し、トラスト ストアを更新しないため、vCenterルートCA証明書が変更されると、vCenterとVxRail Managerは互いの証明書を信頼しなくなり、クラスターのアップグレードが失敗します。

VxRail Manager証明書を自己署名証明書に戻し、更新したvCenterルートCA証明書をVxRail Managerにインポートします。

1.VxRail Manager.
にログインします。2.以下のコマンドを実行します。

#cd /mystic/ssl

#mcp_python cert_util.py --regencert

#mcp_python cert_util.py

注：

• vLCMが有効になっている場合は、vCenter管理者認証情報とrootアカウント認証情報を入力するように求められます。 
• 「--regencert」オプションは、最初に自己署名VxRail Manager証明書を生成し、次に新しいVxRail Manager証明書をvCenterトラスト ストアにアップロードします。
• パラメーターを指定せずに「cert_util.py」コマンドを実行すると、vCenterルートCA証明書がVxRail Managerトラスト ストアにインポートされます。
• これら2つのコマンドの後、vCenterとVxRail Managerは、更新された証明書を使用して相互に信頼関係を再び構築できます。

VxRail Manager証明書が自己署名されているかどうかを確認する方法。

VxRail ManagerにSSHで接続し、次のコマンドを実行します。

   #openssl s_client -showcerts -connect localhost:443 < /dev/null 2>/dev/null |grep 'issuer=' | awk -F'issuer=' '{print $2}' 

   #openssl s_client -showcerts -connect localhost:443 < /dev/null 2>/dev/null |grep 'subject=' | awk -F'subject=' '{print $2}'

   Check the output. If the output is the same, it is a self-signed certificate.

影響を受けるバージョン：

• VxRailバージョン8.0.300から8.0.331では、Day1のvLCM有効化中に、VxRail Manager証明書がVMCA発行の証明書に置き換えられる場合があります。
• 8.0.300より前のバージョンは、1日目にvLCMを有効にすることができないため影響を受けません。 
• バージョン8.0.360以降では、1日目にvLCMを有効にしても、VMCAが発行した証明書への証明書の自動置き換えがトリガーされなくなりました。クラスターのアップグレードでこの問題が発生することはありません。