VxRail: SSL-сертифікат VxRail Manager може бути замінений після ввімкнення vSphere Lifecycle Manager

У версіях VxRail від 8.0.300 до 8.0.331 під час активації vLCM Day1 сертифікат менеджера VxRail буде замінено на сертифікат, виданий VMCA. Цю заміну не можна повернути на самопідписаний сертифікат через інтерфейс плагіна VxRail.

Пізніше, якщо кореневий сертифікат ЦС vCenter зміниться, менеджер vCenter і VxRail можуть більше не довіряти сертифікатам один одного, що спричинить збій оновлення кластера. Ви повинні дотримуватися цієї інструкції в базі знань, щоб замінити сертифікат VxRail Manager на самопідписаний сертифікат та імпортувати його до сховища довіри vCenter.

Примітка: Цей KB застосовується лише до стандартного кластера VxRail, НЕ використовуйте його у VCF у середовищі VxRail.

Якщо сертифікат менеджера VxRail підписано самостійно, процес оновлення кластера автоматично оновить поточні сертифікати менеджера VxRail і сховища довіри vCenter, щоб переконатися, що вони можуть довіряти один одному.

Але якщо сертифікат менеджера VxRail підписано VMCA, процес оновлення кластера не змусить змінити його назад на самопідписаний і оновити сховища довіри, тому якщо кореневий сертифікат CA vCenter змінюється, vCenter і менеджер VxRail більше не довіряють сертифікатам один одного, що спричиняє збій оновлення кластера.

Поверніть сертифікат менеджера VxRail до самопідписаного та імпортуйте оновлений кореневий сертифікат CA vCenter у менеджер VxRail.

1. Увійдіть у VxRail Manager.
2. Виконайте наступні команди:

#cd /mystic/ssl

#mcp_python cert_util.py --regencert

#mcp_python cert_util.py

Примітка:

• Вам буде запропоновано ввести облікові дані адміністратора vCenter та облікові дані облікового запису root, якщо vLCM увімкнено. 
• Опція "--regencert" спочатку генерує самопідписаний сертифікат менеджера VxRail, а потім завантажує новий сертифікат менеджера VxRail у сховище довіри vCenter.
• Команда "cert_util.py" без будь-якого параметра імпортує кореневий сертифікат ЦС vCenter у довірче сховище менеджера VxRail.
• Після цих двох команд менеджери vCenter і VxRail можуть знову довіряти один одному зі своїми оновленими сертифікатами.

Як перевірити, чи є сертифікат VxRail Manager самопідписаним.

SSH до VxRail Manager і запустить:

   #openssl s_client -showcerts -connect localhost:443 < /dev/null 2>/dev/null |grep 'issuer=' | awk -F'issuer=' '{print $2}' 

   #openssl s_client -showcerts -connect localhost:443 < /dev/null 2>/dev/null |grep 'subject=' | awk -F'subject=' '{print $2}'

   Check the output. If the output is the same, it is a self-signed certificate.

Версії, на які це вплинуло:

• У версіях VxRail від 8.0.300 до 8.0.331 під час активації Day1 vLCM сертифікат менеджера VxRail може бути замінений на сертифікат, виданий VMCA.
• Це стосується версій до 8.0.300, оскільки увімкнення vLCM протягом Дня 1 недоступне. 
• Починаючи з версії 8.0.360, увімкнення vLCM у День 1 більше не викликає автоматичної заміни сертифіката на сертифікат, виданий VMCA, оновлення кластера не торкнеться цієї проблеми.