VxRail：啟用 vSphere Lifecycle Manager 後，可能會更換 VxRail Manager SSL 憑證

在 VxRail 版本 8.0.300 至 8.0.331 中，在第 1 天 vLCM 啟用期間，VxRail Manager 憑證將替換為 VMCA 頒發的憑證。這個更換無法透過 VxRail 附掛程式 UI 還原為自我簽署憑證。

之後，如果 vCenter 根 CA 憑證變更，vCenter 和 VxRail Manager 可能不再信任彼此的憑證，導致叢集升級失敗。您必須依照此 KB 指示，將 VxRail Manager 憑證更換為自我簽署憑證，並將其匯入 vCenter 信任存放區。

注意：此 KB 僅適用於標準 VxRail 叢集，請勿用於 VxRail 環境上的 VCF。

如果 VxRail Manager 憑證是自我簽署，叢集升級程序會自動以目前的憑證重新整理 VxRail Manager 和 vCenter 信任存放區，以確保它們彼此可以信任。

但是，如果 VxRail Manager 憑證是 VMCA 簽署，叢集升級程序將不會強制將其變更回自我簽署並重新整理信任存放區，因此如果 vCenter 根 CA 憑證變更，vCenter 和 VxRail Manager 將不再信任彼此的憑證，導致叢集升級失敗。

將 VxRail Manager 憑證還原為自我簽署憑證，然後將更新的 vCenter 根 CA 憑證匯入 VxRail Manager。

1.登入 VxRail Manager。
2.執行下列命令：

#cd /mystic/ssl

#mcp_python cert_util.py --regencert

#mcp_python cert_util.py

注意：

• 如果 vLCM 已啟用，系統會提示您輸入 vCenter 系統管理員認證和根帳戶認證。 
• 「--regencert」選項首先會產生自我簽署的 VxRail Manager 憑證，然後將新的 VxRail Manager 憑證上傳至 vCenter 信任存放區。
• 不含任何參數的「cert_util.py」命令會將 vCenter 根 CA 憑證匯入 VxRail Manager 信任存放區
• 在執行這兩個命令後，vCenter 和 VxRail 管理員便可使用其更新的憑證再次信任彼此。

如何檢查 VxRail Manager 憑證是否已自我簽署。

SSH 至 VxRail Manager 並執行：

   #openssl s_client -showcerts -connect localhost:443 < /dev/null 2>/dev/null |grep 'issuer=' | awk -F'issuer=' '{print $2}' 

   #openssl s_client -showcerts -connect localhost:443 < /dev/null 2>/dev/null |grep 'subject=' | awk -F'subject=' '{print $2}'

   Check the output. If the output is the same, it is a self-signed certificate.

受影響的版本：

• 在 VxRail 版本 8.0.300 至 8.0.331 中，在第 1 天 vLCM 啟用期間，VxRail Manager 憑證可能會更換為 VMCA 簽發的憑證。
• 8.0.300 之前的版本不會受到影響，因為無法在第 1 天啟用 vLCM。 
• 從版本 8.0.360 開始，在第 1 天啟用 vLCM 不再觸發將憑證自動更換為 VMCA 簽發的憑證，叢集升級也不會發生此問題。