VxRail: SSL-certificaat VxRail Manager kan worden vervangen na het inschakelen van vSphere Lifecycle Manager
Summary: In VxRail versie 8.0.300 t/m 8.0.331 wordt tijdens de vLCM-inschakeling op dag 1 het VxRail Manager-certificaat vervangen door een door VMCA uitgegeven certificaat. Als het vCenter-basiscertificaat van de CA later wordt gewijzigd, kunnen de vCenter en VxRail Manager elkaars certificaten niet meer vertrouwen, waardoor een upgrade van het cluster mislukt. ...
Symptoms
In VxRail versie 8.0.300 t/m 8.0.331 wordt tijdens de vLCM-inschakeling op dag 1 het VxRail Manager-certificaat vervangen door een door VMCA uitgegeven certificaat. Deze vervanging kan niet worden hersteld naar een zelfondertekend certificaat via de gebruikersinterface van de VxRail plug-in.
Als het vCenter-basiscertificaat van de CA later wordt gewijzigd, kunnen de vCenter en VxRail Manager elkaars certificaten niet meer vertrouwen, waardoor een upgrade van het cluster mislukt. U moet deze KB-instructie volgen om het VxRail Manager-certificaat te vervangen door een zelfondertekend certificaat en het te importeren in het vCenter Trust Store.
Opmerking: Dit KB-artikel is alleen van toepassing op standaard VxRail-clusters. Gebruik het NIET in een VCF op VxRail-omgeving.
Cause
Als het VxRail Manager-certificaat zelfondertekend is, worden tijdens het clusterupgradeproces de VxRail Manager en vCenter Trust Store automatisch vernieuwd met hun huidige certificaten, om ervoor te zorgen dat ze elkaar kunnen vertrouwen.
Maar als het VxRail Manager-certificaat VMCA-ondertekend is, dwingt het clusterupgradeproces niet om het terug te wijzigen naar zelfondertekend en de vertrouwensarchieven te vernieuwen. Als het vCenter-basis-CA-certificaat wordt gewijzigd, vertrouwen vCenter en VxRail Manager elkaars certificaten niet meer, waardoor clusterupgrade mislukt.
Resolution
Zet het VxRail Manager-certificaat terug naar een zelfondertekend certificaat en importeer het bijgewerkte vCenter-basiscertificaat in VxRail Manager.
1. Meld u aan bij VxRail Manager.
2. Voer de volgende opdrachten uit:
#cd /mystic/ssl
#mcp_python cert_util.py --regencert
#mcp_python cert_util.pyOpmerking:
- U wordt gevraagd om de vCenter administrator-referenties en de root-accountreferenties in te voeren als vLCM is ingeschakeld.
- De optie "--regencert" genereert eerst een zelfondertekend VxRail Manager-certificaat en upload vervolgens het nieuwe VxRail Manager-certificaat naar het vCenter Trust Store.
- De opdracht "cert_util.py" zonder enige parameter importeert het vCenter-basiscertificaat van de CA in het vertrouwensarchief van VxRail Manager.
- Na deze twee opdrachten kunnen de vCenter en VxRail Manager elkaar weer hun bijgewerkte certificaten toevertrouwen.
Additional Information
Controleren of het VxRail Manager-certificaat zelfondertekend is.
Ga met SSH naar VxRail Manager en voer uit:
#openssl s_client -showcerts -connect localhost:443 < /dev/null 2>/dev/null |grep 'issuer=' | awk -F'issuer=' '{print $2}'
#openssl s_client -showcerts -connect localhost:443 < /dev/null 2>/dev/null |grep 'subject=' | awk -F'subject=' '{print $2}'
Check the output. If the output is the same, it is a self-signed certificate.
Versies waarop dit van toepassing is:
- In VxRail versie 8.0.300 t/m 8.0.331 kan tijdens dag 1 vLCM-inschakeling het VxRail Manager-certificaat worden vervangen door een door VMCA uitgegeven certificaat.
- Versies ouder dan 8.0.300 worden niet beïnvloed omdat vLCM inschakelen tijdens dag 1 niet beschikbaar is.
- Vanaf versie 8.0.360 activeert het inschakelen van vLCM op dag 1 niet langer automatische vervanging van het certificaat door een door VMCA uitgegeven certificaat. Clusterupgrade zal dit probleem niet oplossen.