VxRail: vSphere Lifecycle Manager를 활성화한 후 VxRail Manager SSL 인증서가 대체될 수 있음

VxRail 버전 8.0.300-8.0.331에서는 1일 차 vLCM 지원 중에 VxRail Manager 인증서가 VMCA 발급 인증서로 대체됩니다. 이 교체는 VxRail 플러그인 UI를 통해 자체 서명된 인증서로 되돌릴 수 없습니다.

나중에 vCenter 루트 CA 인증서가 변경되면 vCenter 및 VxRail Manager가 서로의 인증서를 더 이상 신뢰하지 않아 클러스터 업그레이드가 실패할 수 있습니다. 이 KB 지침에 따라 VxRail Manager 인증서를 자체 서명된 인증서로 교체하고 vCenter 신뢰 저장소로 가져와야 합니다.

참고: 이 KB는 표준 VxRail 클러스터에만 적용되며 VxRail 기반 VCF 환경에서는 사용하지 마십시오.

VxRail Manager 인증서가 자체 서명된 경우 클러스터 업그레이드 프로세스는 VxRail Manager와 vCenter 신뢰 저장소를 현재 인증서로 자동으로 새로 고쳐 서로 신뢰할 수 있도록 합니다.

그러나 VxRail Manager 인증서가 VMCA 서명된 인증서인 경우 클러스터 업그레이드 프로세스가 이를 다시 자체 서명으로 변경하고 신뢰 저장소를 새로 고치도록 강제하지 않습니다. 따라서 vCenter 루트 CA 인증서가 변경되면 vCenter와 VxRail Manager가 더 이상 서로의 인증서를 신뢰하지 않아 클러스터 업그레이드가 실패합니다.

VxRail Manager 인증서를 자체 서명된 인증서로 되돌리고 업데이트된 vCenter 루트 CA 인증서를 VxRail Manager로 가져옵니다.

1. VxRail Manager에 로그인합니다.
2. 다음 명령을 실행합니다.

#cd /mystic/ssl

#mcp_python cert_util.py --regencert

#mcp_python cert_util.py

참고:

• vLCM이 활성화된 경우 vCenter 관리자 자격 증명과 루트 계정 자격 증명을 입력하라는 메시지가 표시됩니다. 
• "--regencert" 옵션은 먼저 자체 서명된 VxRail Manager 인증서를 생성한 다음 새 VxRail Manager 인증서를 vCenter 신뢰 저장소에 업로드합니다.
• 매개변수 없이 "cert_util.py" 명령을 실행하면 vCenter 루트 CA 인증서를 VxRail Manager 신뢰 저장소로 가져옵니다.
• 이 두 명령을 실행한 후 vCenter와 VxRail Manager는 업데이트된 인증서로 다시 서로를 신뢰할 수 있게 됩니다.

VxRail Manager 인증서가 자체 서명되었는지 확인하는 방법

SSH를 통해 VxRail Manager에 연결하고 다음을 실행합니다.

   #openssl s_client -showcerts -connect localhost:443 < /dev/null 2>/dev/null |grep 'issuer=' | awk -F'issuer=' '{print $2}' 

   #openssl s_client -showcerts -connect localhost:443 < /dev/null 2>/dev/null |grep 'subject=' | awk -F'subject=' '{print $2}'

   Check the output. If the output is the same, it is a self-signed certificate.

영향을 받는 버전:

• VxRail 버전 8.0.300부터 8.0.331까지, 1일 차 vLCM 활성화 중에 VxRail Manager 인증서가 VMCA 발급 인증서로 대체될 수 있습니다.
• 8.0.300 이전 버전은 1일 차 중에 vLCM을 활성화할 수 없으므로 영향을 받지 않습니다. 
• 버전 8.0.360부터 1일 차에 vLCM을 활성화해도 더 이상 인증서를 VMCA 발급 인증서로 자동 교체하지 않습니다. 클러스터 업그레이드해도 이 문제가 발생하지 않습니다.