VxRail: Certyfikat SSL VxRail Manager może zostać zastąpiony po włączeniu programu vSphere Lifecycle Manager

W VxRail w wersji od 8.0.300 do 8.0.331 podczas włączenia vLCM dnia 1 certyfikat VxRail Manager zostanie zastąpiony certyfikatem VMCA wystawionym przez VMCA. Tego zastąpienia nie można przywrócić certyfikatu z podpisem własnym za pośrednictwem interfejsu użytkownika wtyczki VxRail.

Później, jeśli certyfikat głównego urzędu certyfikacji vCenter ulegnie zmianie, vCenter i VxRail Manager mogą przestać ufać sobie nawzajem, powodując niepowodzenie uaktualnienia klastra. Należy postępować zgodnie z tą instrukcją bazy wiedzy, aby zastąpić certyfikat VxRail Manager certyfikatem z podpisem własnym i zaimportować go do magazynu zaufanych certyfikatów vCenter.

Uwaga: Ten artykuł bazy wiedzy dotyczy tylko standardowego klastra VxRail. NIE należy go używać w środowisku VCF na VxRail.

Jeśli certyfikat VxRail Manager jest z podpisem własnym, proces uaktualniania klastra automatycznie odświeży VxRail Manager i vCenter zaufany magazyn przy użyciu ich bieżących certyfikatów, aby upewnić się, że mogą ufać sobie nawzajem.

Jeśli jednak certyfikat VxRail Manager jest podpisany przez VMCA, proces uaktualniania klastra nie wymusi zmiany go z powrotem na certyfikat z podpisem własnym i odświeżenia magazynów zaufania, więc jeśli certyfikat głównego urzędu certyfikacji vCenter zostanie zmieniony, vCenter i VxRail Manager przestaną ufać sobie nawzajem, powodując niepowodzenie uaktualnienia klastra.

Przywróć certyfikat VxRail Manager do certyfikatu z podpisem własnym i zaimportuj zaktualizowany certyfikat głównego urzędu certyfikacji vCenter do narzędzia VxRail Manager.

1. Zaloguj się do programu VxRail Manager.
2. Uruchom następujące polecenia:

#cd /mystic/ssl

#mcp_python cert_util.py --regencert

#mcp_python cert_util.py

Uwaga:

• Zostanie wyświetlony monit o wprowadzenie poświadczeń administratora vCenter oraz poświadczeń konta głównego, jeśli vLCM jest włączone. 
• Opcja "--regencert" najpierw generuje certyfikat VxRail Manager z podpisem własnym, a następnie przesyła nowy certyfikat VxRail Manager do magazynu zaufanych certyfikatów vCenter.
• Polecenie "cert_util.py" bez żadnego parametru zaimportuje certyfikat głównego urzędu certyfikacji vCenter do magazynu zaufanych certyfikatów VxRail Manager.
• Po wykonaniu tych dwóch poleceń vCenter i VxRail Manager mogą ponownie ufać sobie nawzajem i przekazywać zaktualizowane certyfikaty.

Sprawdzanie, czy certyfikat VxRail Manager ma podpis własny.

Połącz się z VxRail Manager i uruchom:

   #openssl s_client -showcerts -connect localhost:443 < /dev/null 2>/dev/null |grep 'issuer=' | awk -F'issuer=' '{print $2}' 

   #openssl s_client -showcerts -connect localhost:443 < /dev/null 2>/dev/null |grep 'subject=' | awk -F'subject=' '{print $2}'

   Check the output. If the output is the same, it is a self-signed certificate.

Wersje, których dotyczy problem:

• W VxRail w wersji od 8.0.300 do 8.0.331 podczas włączania vLCM dnia 1 certyfikat VxRail Manager może zostać zastąpiony certyfikatem VMCA wystawionym przez VMCA.
• Problem nie dotyczy wersji wcześniejszych niż 8.0.300, ponieważ funkcja włączenia vLCM w dniu 1 nie jest dostępna. 
• Począwszy od wersji 8.0.360, włączenie vLCM w dniu 1 nie wyzwala już automatycznej wymiany certyfikatu na certyfikat wystawiony przez VMCA, więc aktualizacja klastra nie napotka tego problemu.