VxRail：启用 vSphere Lifecycle Manager 后，可能会替换 VxRail Manager SSL 证书

在 VxRail 版本 8.0.300 至 8.0.331 中，在初始 vLCM 启用期间，VxRail Manager 证书将替换为 VMCA 颁发的证书。此替换无法通过 VxRail 插件程序 UI 恢复为自签名证书。

稍后，如果 vCenter 根 CA 证书发生更改，vCenter 和 VxRail Manager 可能不再信任彼此的证书，从而导致群集升级失败。您必须按照此知识库文章说明将 VxRail Manager 证书替换为自签名证书，并将其导入 vCenter 信任存储库。

提醒：此知识库文章仅适用于标准 VxRail 群集，请勿在 VCF on VxRail 环境中使用它。

如果 VxRail Manager 证书是自签名的，则群集升级过程将使用当前证书自动刷新 VxRail Manager 和 vCenter 信任存储库，以确保它们可以相互信任。

但是，如果 VxRail Manager 证书是 VMCA 签名的，则群集升级过程不会强制将其更改回自签名并刷新信任存储，因此如果更改了 vCenter 根 CA 证书，vCenter 和 VxRail Manager 将不再信任彼此的证书，从而导致群集升级失败。

将 VxRail Manager 证书恢复为自签名证书，并将更新的 vCenter 根 CA 证书导入 VxRail Manager。

1.登录 VxRail Manager。
2.运行以下命令：

#cd /mystic/ssl

#mcp_python cert_util.py --regencert

#mcp_python cert_util.py

提醒：

• 系统将提示您输入 vCenter 管理员凭据和 root 帐户凭据（如果启用了 vLCM）。 
• “--regencert”选项首先生成自签名 VxRail Manager 证书，然后将新的 VxRail Manager 证书上传到 vCenter 信任存储库。
• 不带任何参数的“cert_util.py”命令会将 vCenter 根 CA 证书导入 VxRail Manager 信任存储库。
• 执行这两个命令后，vCenter 和 VxRail Manager 可以使用其更新的证书再次相互信任。

如何检查 VxRail Manager 证书是否为自签名证书。

通过 SSH 连接到 VxRail Manager 并运行：

   #openssl s_client -showcerts -connect localhost:443 < /dev/null 2>/dev/null |grep 'issuer=' | awk -F'issuer=' '{print $2}' 

   #openssl s_client -showcerts -connect localhost:443 < /dev/null 2>/dev/null |grep 'subject=' | awk -F'subject=' '{print $2}'

   Check the output. If the output is the same, it is a self-signed certificate.

受影响的版本：

• 在 VxRail 版本 8.0.300 至 8.0.331 中，在初始 vLCM 启用期间，VxRail Manager 证书可能会被替换为 VMCA 颁发的证书。
• 8.0.300 之前的版本不受影响，因为在 Day1 期间启用 vLCM 不可用。 
• 从版本 8.0.360 开始，在第 1 天启用 vLCM 不再触发将证书自动替换为 VMCA 颁发的证书，群集升级将不会遇到此问题。