NVP-vProxy : Impossible d’installer le plug-in vCenter après le remplacement du certificat NetWorker

L’intégration NetWorker VMware Protection est configurée avec l’appliance vProxy. L’installation du plug-in vCenter Server est requise pour activer la sauvegarde et la restauration côté vCenter.
Lors de l’installation du plug-in, NetWorker signale que l’installation a réussi, mais vCenter signale un échec du déploiement ainsi que l’erreur suivante dans vsphere_client_virgo.log :

[YYYY-MM-DDTHH:MM:SSZ] [ERROR] -async-task-executor-pool-91  com.vmware.vise.extensionfw.plugins.impl.PluginStatusServiceImpl  DOWNLOAD_FAILED: Error downloading plugin package com.dell.emc.nw:19.4.0.95 from https://<NW-server>:9090/vcui/plugin.json. Reason: Download error. Make sure that the URL is reachable and the thumbprint is correct. com.vmware.vise.plugin.download.PluginDownloadException: javax.net.ssl.SSLHandshakeException: Server certificate chain is not trusted and thumbprint doesn't match
[YYYY-MM-DDTHH:MM:SSZ] [ERROR] -async-task-executor-pool-91  com.vmware.vise.vim.extension.VcExtensionManager                  Downloading plugin package: 'com.dell.emc.nw:19.4.0.95' registered in vCenter: '<vCenter server name>' has failed. java.util.concurrent.CompletionException: com.vmware.vise.plugin.download.PluginDownloadException: javax.net.ssl.SSLHandshakeException: Server certificate chain is not trusted and thumbprint doesn't match

Le problème a été observé pour plusieurs environnements où les certificats NetWorker ont été remplacés après l’installation par des certificats d’autorité de certification, par exemple :

• NetWorker : comment importer ou remplacer les certificats signés par l’autorité de certification pour « Authc » et « NWUI » (Linux)
• NetWorker : Importation ou remplacement de certificats signés par une autorité de certification pour « AUTHC » et « NWUI » (Windows)

Pour contourner ce problème, déployez la commande Dell EMC NetWorker Branchez à l’aide de l’interface de ligne de commande vSphere Client Software Development Kit (SDK) ou enregistrez-vous manuellement dans vCenter MOB, en mettant à jour l’enregistrement serverThumbprint. Un administrateur VMware doit effectuer les actions décrites dans cet article de la base de connaissances.

Avant d’appliquer une solution de contournement, vérifiez qu’il n’existe aucune extension de plug-in issue des installations précédentes et désinstallez-les en suivant les étapes ci-dessous le cas échéant :

1. Sur l’appliance du serveur vCenter, arrêtez les services vSphere à l’aide de la commande :

service-control --stop vsphere-ui

2. Connectez-vous au MOB vCenter Server via un navigateur : https://vCenter server name/mob/?moid=ExtensionManager
3. Annulez l’enregistrement des extensions suivantes :
   • com.dell.emc.nw
   • com.emc.networker.backup
   • com.emc.networker.recover
4. Sur l’appliance du serveur vCenter :
   • Accédez au chemin suivant : /etc/vmware/vsphere-ui/vc-packages/vsphere-client-serenity/
   • Supprimez tous les répertoires com.dell.emc.nw-xx.x.x.xx s’ils ont été trouvés :

rm -drv <directory name>

5. Démarrez les services vSphere :

service-control --start vsphere-ui

6. Supprimez l’historique du navigateur et relancez le navigateur. Connectez-vous à vCenter et vérifiez que le plug-in n’est pas répertorié dans l’interface utilisateur.
   

Solution de contournement A - Enregistrement des plug-ins à l’aide du vSphere Client SDK :

1. Téléchargez le vSphere Client SDK correspondant à la version de vCenter Server sur le site Web de VMware. Vous pouvez conserver le SDK sur n’importe quel hôte Linux/Windows disposant d’une connectivité à NetWorker et vCenter Server.

VMware vSphere Client SDK 8.0 : vSphere Client SDK - 8.0 

Remarque : Consultez le Broadcom Developer Portal  pour obtenir d’autres téléchargements de la version du SDK VMware.

2. Décompressez le package SDK et accédez au chemin suivant : html-client-sdk/vCenter plug-in registration/prebuilt/

• Ce chemin contient des extension-registration.sh et des extension-registration.bat qui peuvent être exécutés à distance sur l’hôte où le SDK est téléchargé en fonction du système d’exploitation.

3.  Exécutez la commande suivante sur l’appliance du serveur vCenter/le serveur NetWorker Linux et notez l’empreinte du certificat du serveur NetWorker généré :

keytool -printcert -sslserver <NetWorker Server IP/FQDN>:9090 -rfc | openssl x509 -fingerprint -noout

4. Exécutez la commande suivante sur l’appliance du serveur vCenter/le serveur NetWorker Linux et notez l’empreinte du certificat du serveur vCenter généré :

keytool -printcert -sslserver <vCenter Server IP/FQDN>:443 -rfc | openssl x509 -fingerprint -noout

5. Exécutez le script à l’aide de la syntaxe suivante, en remplaçant les valeurs spécifiques à l’environnement .

• Sous Windows :

extension-registration.bat -action registerPlugin -remote -url https://vCenter-server-name-or-IP/sdk -username administrator@vsphere.local -password vCenter-password -key com.dell.emc.nw -version NetWorker-Version-see-below-note -pluginUrl https://NW-server-name-o-IP:9090/vcui/plugin.json -serverThumbprint NetWorker-thumbprint-from-step-3 -vct vCenter-thumbprint-from-step-4 -c "Dell EMC" -n "NW Data Protection" -s "VCUI - vSphere Data Protection NetWorker"

• Sous Linux :
• Rendez le extension-registration.sh exécutable en exécutant la commande :

chmod +x extension-registration.sh

• Exécutez le script :

./extension-registration.sh -action registerPlugin -remote -url https://vCenter-server-name-or-IP/sdk -username administrator@vsphere.local -password vCenter-password -key com.dell.emc.nw -version NetWorker-Version-see-below-note -pluginUrl https://NW-server-name-o-IP:9090/vcui/plugin.json -serverThumbprint NetWorker-thumbprint-from-step-3 -vct vCenter-thumbprint-from-step-4 -c "Dell EMC" -n "NW Data Protection" -s "VCUI - vSphere Data Protection NetWorker"

6. Déconnectez-vous, puis connectez-vous à l’interface Web vSphere.
7. Accédez à Plugin et saisissez les informations d’identification et de connexion NetWorker NMC pour effectuer des sauvegardes et des restaurations à l’aide du plug-in VCUI. Une fois que vous avez lancé des sauvegardes ou des restaurations, les extensions com.emc.networker.backup et com.emc.networker.recover doivent être renseignées dans vCenter MOB.
   

Solution de contournement B : enregistrement manuel des extensions à partir de MOB :

1. Obtenez l’empreinte du certificat NetWorker à l’aide de la commande suivante sur VCSA :

keytool -printcert -sslserver <NetWorker Server IP/FQDN>:9090 -rfc | openssl x509 -fingerprint -noout

2. Connectez-vous au gestionnaire d’extensions MOB : https://vCenter server name/mob/?moid=ExtensionManager
3. Sélectionnez Enregistrer l’extension.
4. Utilisez le fichier joint com.dell.emc.nw Fichier de configuration de l’extension comme valeur d’extension.
   • Remarque : Vous devez modifier les valeurs de paramètres/balises suivantes dans com.dell.emc.nw Valeur de l’extension pour refléter la configuration de votre environnement :
     • Version -- votre version NW actuelle et votre numéro de build, par exemple : Si vous utilisez NetWorker 19.12.0.2.build.57, la version doit être 19.12.0.57.
     • URL-- https://NW server name or IP:9090/vcui/plugin.json
     • serverThumbprint -- à partir de l’étape 1
     • lastHeartbeatTime -- date et heure actuelles au format YYYY-MM-DDTHH:MM:SSZ
5. Vérifiez l’état du déploiement dans l’onglet « Client Plug-in » du serveur vCenter et les tâches récentes. 
6. Déconnectez-vous, puis connectez-vous à l’interface Web vSphere.