VxRail: VxRail Managerin SSL-varmenne voidaan korvata, kun vSphere Lifecycle Manager on otettu käyttöön

VxRail-versioissa 8.0.300–8.0.331 päivän 1 vLCM-käyttöönoton aikana VxRail Manager -varmenne korvataan VMCA:n myöntämällä varmenteella. Tätä korvaamista ei voi palauttaa itse allekirjoitetuksi varmenteeksi VxRail-laajennuksen käyttöliittymässä.

Jos myöhemmin vCenterin päävarmenteiden myöntäjän varmenne muuttuu, vCenter ja VxRail Manager eivät ehkä enää luota toistensa varmenteihin, mikä aiheuttaa klusteripäivityksen epäonnistumisen. Korvaa VxRail Managerin varmenne itse allekirjoitetulla varmenteella ja tuo se vCenterin luottamussäilöön näiden tietämyskannan ohjeiden mukaisesti.

Huomautus: Tämä tietämyskannan artikkeli koskee vain tavallista VxRail-klusteria, ÄLÄ käytä sitä VCF on VxRail -ympäristössä.

Jos VxRail Managerin varmenne on itse allekirjoitettu, klusterin päivitysprosessi päivittää VxRail Managerin ja vCenter Trust Storen automaattisesti nykyisillä varmenteilla, jotta ne voivat varmasti luottaa toisiinsa.

Mutta jos VxRail Managerin varmenne on VMCA-allekirjoitettu, klusterin päivitysprosessi ei pakota muuttamaan sitä takaisin itse allekirjoitetuksi ja päivittämään luottamussäilöjä, joten jos vCenter root CA -varmennetta muutetaan, vCenter ja VxRail Manager eivät enää luota toistensa varmenteisiin, mikä aiheuttaa klusteripäivityksen epäonnistumisen.

Palauta VxRail Managerin varmenne itse allekirjoitetuksi varmenteeksi ja tuo päivitetty vCenter root CA -varmenne VxRail Manageriin.

1. Kirjaudu VxRail Manageriin.
2. Suorita seuraavat komennot:

#cd /mystic/ssl

#mcp_python cert_util.py --regencert

#mcp_python cert_util.py

Huomautus:

• Sinua pyydetään antamaan vCenter-järjestelmänvalvojan tunnistetiedot ja pääkäyttäjän tilin tunnistetiedot, jos vLCM on käytössä. 
• --regencert-asetus luo ensin itse allekirjoitetun VxRail Manager -varmenteen ja lataa sitten uuden VxRail Manager -varmenteen vCenterin luottamussäilöön.
• cert_util.py-komento ilman parametreja tuo vCenter root CA -varmenteen VxRail Managerin luottamussäilöön.
• Näiden kahden komennon jälkeen vCenter ja VxRail Manager voivat taas luottaa päivitettyihin varmenteihinsa toisiinsa.

Sen tarkistaminen, onko VxRail Managerin varmenne itse allekirjoitettu.

Muodosta SSH-yhteys VxRail Manageriin ja suorita:

   #openssl s_client -showcerts -connect localhost:443 < /dev/null 2>/dev/null |grep 'issuer=' | awk -F'issuer=' '{print $2}' 

   #openssl s_client -showcerts -connect localhost:443 < /dev/null 2>/dev/null |grep 'subject=' | awk -F'subject=' '{print $2}'

   Check the output. If the output is the same, it is a self-signed certificate.

Versiot, joita ongelma koskee:

• VxRail-versioissa 8.0.300–8.0.331 VxRail Manager -varmenne voidaan korvata VMCA:n myöntämällä varmenteella päivän 1 vLCM-käyttöönoton aikana.
• Tämä ei vaikuta versiota 8.0.300 vanhempiin versioihin, koska vLCM:n ottaminen käyttöön päivän 1 aikana ei ole käytettävissä. 
• Versiosta 8.0.360 alkaen vLCM:n käyttöönotto päivänä 1 ei enää automaattisesti korvaa varmennetta VMCA:n myöntämällä varmenteella. Klusteripäivitys ei vaikuta tähän ongelmaan.