VxRail: O certificado SSL do VxRail Manager pode ser substituído após a ativação do vSphere Lifecycle Manager
Summary: No VxRail versão 8.0.300 a 8.0.331, durante a habilitação do vLCM no primeiro dia, o certificado do VxRail Manager será substituído por um emitido por VMCA. Posteriormente, se o certificado da CA raiz do vCenter for alterado, o vCenter e o VxRail Manager poderão não confiar mais nos certificados um do outro, causando falha no upgrade do cluster. ...
Symptoms
No VxRail versão 8.0.300 a 8.0.331, durante a habilitação do vLCM no primeiro dia, o certificado do VxRail Manager será substituído por um emitido por VMCA. Essa substituição não pode ser revertida para um certificado autoassinado por meio da interface do usuário do plug-in do VxRail.
Posteriormente, se o certificado da CA raiz do vCenter for alterado, o vCenter e o VxRail Manager poderão não confiar mais nos certificados um do outro, causando falha no upgrade do cluster. Você deve seguir as instruções desta KB para substituir o certificado do VxRail Manager por um certificado autoassinado e importá-lo para o armazenamento confiável do vCenter.
Nota: Este artigo da KB aplica-se somente ao cluster padrão do VxRail. NÃO o use no VCF no ambiente VxRail.
Cause
Se o certificado do VxRail Manager for autoassinado, o processo de upgrade do cluster atualizará automaticamente o VxRail Manager e o armazenamento confiável do vCenter com seus certificados atuais para garantir que eles possam confiar um no outro.
No entanto, se o certificado do VxRail Manager for assinado por VMCA, o processo de upgrade do cluster não forçará a alteração dele de volta para autoassinado e a atualização dos repositórios confiáveis. Portanto, se o certificado da CA raiz do vCenter for alterado, o vCenter e o VxRail Manager não confiam mais nos certificados um do outro, causando falha no upgrade do cluster.
Resolution
Reverta o certificado do VxRail Manager para um autoassinado e importe o certificado da CA raiz do vCenter atualizado para o VxRail Manager.
1. Faça login no VxRail Manager.
2. Execute os seguintes comandos:
#cd /mystic/ssl
#mcp_python cert_util.py --regencert
#mcp_python cert_util.pyNota:
- Será solicitado que você digite as credenciais de administrador do vCenter e as credenciais da conta root se o vLCM estiver habilitado.
- A opção "--regencert" gera primeiro um certificado autoassinado do VxRail Manager e, em seguida, carrega o novo certificado do VxRail Manager no armazenamento confiável do vCenter.
- O comando "cert_util.py" sem nenhum parâmetro importará o certificado da CA raiz do vCenter para o armazenamento confiável do VxRail Manager.
- Após esses dois comandos, o vCenter e o VxRail Manager podem confiar um no outro novamente com seus certificados atualizados.
Additional Information
Como verificar se o certificado do VxRail Manager é autoassinado.
Faça SSH para o VxRail Manager e execute:
#openssl s_client -showcerts -connect localhost:443 < /dev/null 2>/dev/null |grep 'issuer=' | awk -F'issuer=' '{print $2}'
#openssl s_client -showcerts -connect localhost:443 < /dev/null 2>/dev/null |grep 'subject=' | awk -F'subject=' '{print $2}'
Check the output. If the output is the same, it is a self-signed certificate.
Versões afetadas:
- No VxRail versão 8.0.300 a 8.0.331, durante a ativação do vLCM no primeiro dia, o certificado do VxRail Manager pode ser substituído por um emitido por VMCA.
- As versões anteriores à 8.0.300 não são afetadas, pois a ativação do vLCM durante o primeiro dia não está disponível.
- A partir da versão 8.0.360, habilitar o vLCM no Dia 1 não aciona mais a substituição automática do certificado por um emitido por VMCA, o upgrade do cluster não afetará esse problema.