VxRail: SSL-certifikatet för VxRail Manager kan bytas ut efter att vSphere Lifecycle Manager har aktiverats

I VxRail version 8.0.300 till 8.0.331 ersätts VxRail Manager-certifikatet av ett VMCA-utfärdat certifikat under vLCM-aktivering för dag 1. Den här ersättningen kan inte återställas till ett självsignerat certifikat via VxRail-insticksprogrammets UI.

Om vCenter-rotcertifikatutfärdarcertifikatet senare ändras kan det hända att vCenter- och VxRail-hanteraren inte längre litar på varandras certifikat, vilket orsakar klusteruppgraderingsfel. Du måste följa den här KB-instruktionen för att ersätta VxRail Manager-certifikatet med ett självsignerat certifikat och importera det till vCenter Trust Store.

Obs! Denna KB gäller endast för standard VxRail-kluster, ANVÄND INTE i VCF på VxRail-miljö.

Om VxRail Manager-certifikatet är självsignerat uppdateras VxRail Manager- och vCenter-förtroendearkivet automatiskt med de aktuella certifikaten under klusteruppgraderingen, så att man kan lita på varandra.

Men om VxRail Manager-certifikatet är VMCA-signerat tvingar inte klusteruppgraderingsprocessen tillbaka det till självsignerat och uppdaterar förtroendelagren, så om vCenter-rotcertifikatutfärdarcertifikatet ändras litar vCenter och VxRail Manager inte längre på varandras certifikat, vilket orsakar klusteruppgraderingsfel.

Återställ VxRail Manager-certifikatet till ett självsignerat certifikat och importera det uppdaterade vCenter-rotcertifikatutfärdarcertifikatet till VxRail Manager.

1. Logga in på VxRail Manager.
2. Kör följande kommandon:

#cd /mystic/ssl

#mcp_python cert_util.py --regencert

#mcp_python cert_util.py

Obs!

• Du uppmanas att ange inloggningsuppgifter för vCenter-administratören och rotkontot om vLCM är aktiverat. 
• Med alternativet --regencert genereras först ett självsignerat VxRail Manager-certifikat och sedan laddas det nya VxRail Manager-certifikatet upp till vCenter Trust Store.
• Kommandot "cert_util.py" utan parameter importerar vCenter-rotcertifikatutfärdarens certifikat till VxRail Manager Trust Store.
• Efter dessa två kommandon kan vCenter- och VxRail-hanteraren lita på varandra igen med sina uppdaterade certifikat.

Så här kontrollerar du om VxRail Manager-certifikatet är självsignerat.

SSH-anslut till VxRail Manager och kör:

   #openssl s_client -showcerts -connect localhost:443 < /dev/null 2>/dev/null |grep 'issuer=' | awk -F'issuer=' '{print $2}' 

   #openssl s_client -showcerts -connect localhost:443 < /dev/null 2>/dev/null |grep 'subject=' | awk -F'subject=' '{print $2}'

   Check the output. If the output is the same, it is a self-signed certificate.

Berörda versioner:

• I VxRail version 8.0.300 till 8.0.331 kan VxRail Manager-certifikatet ersättas av ett VMCA-utfärdat certifikat under dag 1-aktivering av vLCM.
• Versioner före 8.0.300 påverkas inte eftersom det inte går att aktivera vLCM under Dag 1. 
• Från och med version 8.0.360 utlöser aktivering av vLCM på dag 1 inte längre automatisk ersättning av certifikatet med ett VMCA-utfärdat, klusteruppgraderingen kommer inte att påverka det här problemet.