VxRail: VxRail Manager SSL sertifikası, vSphere Lifecycle Manager etkinleştirildikten sonra değiştirilebilir

VxRail sürüm 8.0.300 ila 8.0.331 de, 1. Gün vLCM etkinleştirmesi sırasında VxRail yönetici sertifikası, VMCA tarafından düzenlenen bir sertifikayla değiştirilecektir. Bu değişiklik, VxRail eklenti kullanıcı arayüzü aracılığıyla kendinden imzalı bir sertifikaya geri döndürülemez.

Daha sonra vCenter kök CA sertifikası değişirse vCenter ve VxRail yöneticisi artık birbirlerinin sertifikalarına güvenmeyebilir ve bu da küme yükseltme hatasına neden olur. VxRail Manager sertifikasını kendinden imzalı bir sertifikayla değiştirmek ve vCenter güven deposuna aktarmak için bu KB talimatını uygulamanız gerekir.

Not: Bu KB yalnızca standart VxRail kümesi için geçerlidir; bunu VxRail ortamında VCF'de KULLANMAYIN.

VxRail yönetici sertifikası kendinden imzalıysa küme yükseltme işlemi, birbirlerine güvenebilmelerini sağlamak için VxRail yöneticisi ve vCenter güven deposunu mevcut sertifikalarıyla otomatik olarak yeniler.

Ancak VxRail yönetici sertifikası VMCA imzalıysa küme yükseltme işlemi, sertifikayı kendinden imzalı sertifikaya geri döndürmeye ve güven depolarını yenilemeye zorlamaz. Bu nedenle, vCenter kök CA sertifikası değiştirilirse vCenter ve VxRail yöneticisi artık birbirinin sertifikalarına güvenmez ve bu da küme yükseltme hatasına neden olur.

VxRail yönetici sertifikasını kendinden imzalı bir sertifikaya geri döndürün ve güncellenmiş vCenter kök CA sertifikasını VxRail yöneticisine aktarın.

1. VxRail Manager da oturum açın.
2. Aşağıdaki komutları çalıştırın:

#cd /mystic/ssl

#mcp_python cert_util.py --regencert

#mcp_python cert_util.py

Not:

• vLCM etkinse vCenter yönetici kimlik bilgilerini ve kök hesap kimlik bilgilerini girmeniz istenir. 
• --regencert" seçeneği, önce kendinden imzalı bir VxRail yönetici sertifikası oluşturur, ardından yeni VxRail yöneticisi sertifikasını vCenter güven deposuna yükler.
• Herhangi bir parametre olmadan "cert_util.py" komutu, vCenter kök CA sertifikasını VxRail yöneticisi güven deposuna aktarır.
• Bu iki komuttan sonra vCenter ve VxRail yöneticisi güncellenmiş sertifikalarıyla tekrar birbirlerine güvenebilirler.

VxRail Manager sertifikasının kendinden imzalı olup olmadığını kontrol etme.

VxRail Manager da SSH oturumu açın ve şunu çalıştırın:

   #openssl s_client -showcerts -connect localhost:443 < /dev/null 2>/dev/null |grep 'issuer=' | awk -F'issuer=' '{print $2}' 

   #openssl s_client -showcerts -connect localhost:443 < /dev/null 2>/dev/null |grep 'subject=' | awk -F'subject=' '{print $2}'

   Check the output. If the output is the same, it is a self-signed certificate.

Etkilenen Sürümler:

• VxRail sürüm 8.0.300 ila 8.0.331 de, 1. Gün vLCM etkinleştirmesi sırasında VxRail yönetici sertifikası VMCA tarafından düzenlenen bir sertifikayla değiştirilebilir.
• 8.0.300'den önceki sürümler, 1. Gün sırasında vLCM'yi etkinleştirme seçeneği kullanılamadığından etkilenmez. 
• 8.0.360 sürümünden başlayarak, 1. günde vLCM'nin etkinleştirilmesi artık sertifikanın VMCA tarafından verilen bir sertifikayla otomatik olarak değiştirilmesini tetiklemez. Küme yükseltmesi bu soruna yol açmaz.