VxRail : Le certificat SSL VxRail Manager peut être remplacé après l’activation de vSphere Lifecycle Manager

Dans VxRail version 8.0.300 à 8.0.331, lors de l’activation de vLCM Day1, le certificat VxRail Manager sera remplacé par un certificat émis par VMCA. Ce remplacement ne peut pas être remplacé par un certificat auto-signé via l’interface utilisateur du plug-in VxRail.

Par la suite, si le certificat d’autorité de certification racine de vCenter change, vCenter Manager et VxRail Manager peuvent ne plus se faire confiance, ce qui entraîne l’échec de la mise à niveau du cluster. Vous devez suivre ces instructions de la base de connaissances pour remplacer le certificat VxRail Manager par un certificat auto-signé et l’importer dans le magasin de confiance vCenter.

Remarque : Cet article de la base de connaissances s’applique uniquement au cluster VxRail standard. NE L’UTILISEZ PAS dans un environnement VCF sur VxRail.

Si le certificat VxRail Manager est auto-signé, le processus de mise à niveau du cluster actualise automatiquement VxRail Manager et le magasin d’approbations vCenter avec leurs certificats actuels, afin de s’assurer qu’ils peuvent se faire confiance.

Toutefois, si le certificat VxRail Manager est signé par VMCA, le processus de mise à niveau du cluster n’oblige pas à le redéfinir en auto-signature et à actualiser les magasins de confiance. Par conséquent, si le certificat d’autorité de certification racine vCenter est modifié, vCenter et VxRail Manager ne se font plus confiance, ce qui entraîne l’échec de la mise à niveau du cluster.

Remplacez le certificat VxRail Manager par un certificat auto-signé et importez le certificat d’autorité de certification racine vCenter mis à jour dans VxRail Manager.

1. Connectez-vous à VxRail Manager.
2. Exécutez les commandes suivantes :

#cd /mystic/ssl

#mcp_python cert_util.py --regencert

#mcp_python cert_util.py

Remarque :

• Vous serez invité à saisir les informations d’identification de l’administrateur vCenter et les informations d’identification du compte root si vLCM est activé. 
• L’option « --regencert » génère d’abord un certificat VxRail Manager auto-signé, puis télécharge le nouveau certificat VxRail Manager dans le magasin de confiance vCenter.
• La commande « cert_util.py » sans aucun paramètre importera le certificat d’autorité de certification racine vCenter dans le magasin de confiance VxRail Manager.
• Après ces deux commandes, vCenter et VxRail Manager peuvent à nouveau se faire confiance avec leurs certificats mis à jour.

Comment vérifier si le certificat VxRail Manager est auto-signé.

Ouvrez une session SSH sur VxRail Manager et exécutez :

   #openssl s_client -showcerts -connect localhost:443 < /dev/null 2>/dev/null |grep 'issuer=' | awk -F'issuer=' '{print $2}' 

   #openssl s_client -showcerts -connect localhost:443 < /dev/null 2>/dev/null |grep 'subject=' | awk -F'subject=' '{print $2}'

   Check the output. If the output is the same, it is a self-signed certificate.

Versions affectées :

• Dans VxRail version 8.0.300 à 8.0.331, lors de l’activation de vLCM Day1, le certificat VxRail Manager peut être remplacé par un certificat émis par VMCA.
• Les versions antérieures à 8.0.300 ne sont pas affectées, car l’activation de vLCM au cours du jour 1 n’est pas disponible. 
• À partir de la version 8.0.360, l’activation de vLCM le jour 1 ne déclenche plus le remplacement automatique du certificat par un certificat émis par VMCA. La mise à niveau du cluster ne résoudra pas ce problème.