VxRail. SSL-сертификат VxRail Manager можно заменить после включения vSphere Lifecycle Manager

В VxRail версий 8.0.300–8.0.331 во время включения vLCM первого дня сертификат VxRail Manager будет заменен сертификатом, выданным VMCA. Эту замену нельзя отменить на самозаверяющий сертификат с помощью пользовательского интерфейса подключаемого модуля VxRail.

Впоследствии, если корневой сертификат CA vCenter изменится, vCenter и VxRail Manager могут перестать доверять сертификатам друг друга, что приведет к сбою модернизации кластера. Чтобы заменить сертификат VxRail Manager самозаверяющим сертификатом и импортировать его в хранилище доверия vCenter, необходимо следовать этим инструкциям базы знаний.

Примечание. Эта статья базы знаний относится только к стандартному кластеру VxRail. НЕ используйте ее в среде VCF на базе VxRail.

Если сертификат VxRail Manager является самозаверяющим, процесс модернизации кластера автоматически обновит VxRail Manager и хранилище доверенных сертификатов vCenter с использованием их текущих сертификатов, чтобы убедиться, что они могут доверять друг другу.

Но если сертификат VxRail Manager подписан VMCA, процесс модернизации кластера не принудительно изменит его на самозаверяющий и обновит хранилища доверия, поэтому при изменении сертификата корневого CA vCenter vCenter и VxRail Manager больше не доверяют сертификатам друг друга, что приводит к сбою модернизации кластера.

Восстановите самозаверяющий сертификат VxRail Manager и импортируйте обновленный сертификат корневого CA vCenter в VxRail Manager.

1. Войдите в VxRail Manager.
2. Выполните следующие команды:

#cd /mystic/ssl

#mcp_python cert_util.py --regencert

#mcp_python cert_util.py

Примечание.

• Если функция vLCM включена, вам будет предложено ввести учетные данные администратора vCenter и учетные данные root. 
• Параметр --regencert сначала создает самозаверяющий сертификат VxRail Manager, а затем загружает новый сертификат VxRail Manager в хранилище доверия vCenter.
• Команда «cert_util.py» без каких-либо параметров импортирует корневой сертификат CA vCenter в хранилище доверия VxRail Manager.
• После выполнения этих двух команд vCenter и VxRail Manager снова могут доверять друг другу со своими обновленными сертификатами.

Как проверить, является ли сертификат VxRail Manager самозаверяющим.

Подключитесь к VxRail Manager по SSH и выполните команду:

   #openssl s_client -showcerts -connect localhost:443 < /dev/null 2>/dev/null |grep 'issuer=' | awk -F'issuer=' '{print $2}' 

   #openssl s_client -showcerts -connect localhost:443 < /dev/null 2>/dev/null |grep 'subject=' | awk -F'subject=' '{print $2}'

   Check the output. If the output is the same, it is a self-signed certificate.

Затронутые версии:

• В VxRail версий 8.0.300–8.0.331 во время включения vLCM 1-го дня сертификат VxRail Manager можно заменить сертификатом, выданным VMCA.
• Версии до 8.0.300 не затрагиваются, так как функция включения vLCM в течение 1-го дня недоступна. 
• Начиная с версии 8.0.360, включение vLCM в первый день больше не вызывает автоматическую замену сертификата на сертификат, выданный VMCA, и модернизация кластера не будет вызывать эту проблему.