VxRail: SSL-sertifikatet for VxRail Manager kan erstattes etter aktivering av vSphere Lifecycle Manager

I VxRail versjon 8.0.300 til 8.0.331 vil VxRail Manager-sertifikatet bli erstattet av et VMCA-sertifikat under aktivering av VXRail versjon 8.0.300 til 8.0.331 i løpet av dag 1 vLCM. Denne erstatningen kan ikke tilbakestilles til et selvsignert sertifikat via VxRail-plugin-brukergrensesnittet.

Senere, hvis vCenter root CA-sertifikatet endres, kan det hende at vCenter og VxRail Manager ikke lenger stoler på hverandres sertifikater, noe som forårsaker klyngeoppgraderingsfeil. Du må følge denne KB-instruksjonen for å erstatte VxRail Manager-sertifikatet med et selvsignert sertifikat og importere det til vCenter-klareringslageret.

Merk: Denne kunnskapsartikkelen gjelder kun for standard VxRail-klynge, og IKKE bruk den i VCF på VxRail-miljøet.

Hvis VxRail manager-sertifikatet er selvsignert, vil klyngeoppgraderingsprosessen automatisk oppdatere VxRail Manager og vCenter-klareringslageret med sine nåværende sertifikater, for å sikre at de kan stole på hverandre.

Men hvis VxRail manager-sertifikatet er VMCA-signert, vil ikke klyngeoppgraderingsprosessen tvinge til å endre det tilbake til selvsignert og oppdatere klareringslagrene. Så hvis vCenter root CA-sertifikatet endres, stoler ikke vCenter og VxRail Manager lenger på hverandres sertifikater, noe som forårsaker klyngeoppgraderingsfeil.

Tilbakestill VxRail Manager-sertifikatet til et selvsignert sertifikat, og importer det oppdaterte vCenter root CA-sertifikatet til VxRail Manager.

1. Logg på VxRail Manager.
2. Kjør følgende kommandoer:

#cd /mystic/ssl

#mcp_python cert_util.py --regencert

#mcp_python cert_util.py

Merk:

• Du blir bedt om å angi legitimasjonen for vCenter-administratoren og legitimasjonen for rotkontoen hvis vLCM er aktivert. 
• Alternativet "--regencert" genererer først et selvsignert VxRail manager-sertifikat, og laster deretter opp det nye VxRail manager-sertifikatet til vCenter-klareringslageret.
• "cert_util.py"-kommandoen uten noen parameter importerer vCenter root CA-sertifikatet til VxRail Manager Trust Store.
• Etter disse to kommandoene kan vCenter og VxRail Manager stole på hverandre igjen med de oppdaterte sertifikatene.

Slik sjekker du om VxRail Manager-sertifikatet er selvsignert.

SSH til VxRail Manager og kjør:

   #openssl s_client -showcerts -connect localhost:443 < /dev/null 2>/dev/null |grep 'issuer=' | awk -F'issuer=' '{print $2}' 

   #openssl s_client -showcerts -connect localhost:443 < /dev/null 2>/dev/null |grep 'subject=' | awk -F'subject=' '{print $2}'

   Check the output. If the output is the same, it is a self-signed certificate.

Berørte versjoner:

• I VxRail versjon 8.0.300 til 8.0.331 kan VxRail Manager-sertifikatet bli erstattet av et VMCA-utstedt sertifikat i løpet av dag 1.
• Versjoner før 8.0.300 påvirkes ikke fordi aktivering av vLCM i løpet av dag 1 ikke er tilgjengelig. 
• Fra og med versjon 8.0.360 og aktivering av vLCM på dag 1 ikke lenger utløser automatisk erstatning av sertifikatet med et VMCA-utstedt sertifikat, vil ikke klyngeoppgradering løse dette problemet.