VxRail：測試「sig_hash」執行狀況檢查失敗

sig_hash測試會偵測 vCenter、vCenter 根存放區和 ESXi 憑證上使用的較弱簽名。
已識別使用 SHA1 的所有簽名。

由於憑證簽章演算法較弱，在預先檢查期間嘗試將 vCenter 或 ESXi 升級至 8.0 時失敗。由於憑證簽章演算法較弱，在預先檢查期間升級 vCenter Server 或 ESXi 8.0 失敗
 

#========================#======#=========#====================================================================#==============# 
|  Hostname / Category   |Status  Dell_KB |  Warnings or Failures, unless tests Passed                         ; Product S.N. | 
#========================#======#=========#====================================================================#==============# 
| VxRM                   | Failure 213273 | sig_hash: Signature algorithm check FAILED. See vxv.log for details.        No_SRS|
or
| VxRM                   | Warning 213273 | sig_hash: Signature algorithm check FAILED. See vxv.log for details.        No_SRS|

vSphere 8 中已移除對 SHA1 憑證的支援，因此 sig_hash 在 vCenter/ESXi SSL 或 CA 憑證簽章中找到 SHA1 時，測試失敗。

此sig_hash測試 SHA1 在用於以下任務的簽名演算法中是否存在：

• vCenter SSL 連線
• ESXi SSL 連線
• 找到的 vCenter CA 憑證：
  • 低於 7.0.240： /var/lib.vmware-marvin/trust
  • 7.0.240+: /var/lib.vmware-marvin/trust
  • 注意：這應符合 vCenter UI 起始頁面的download.zip檔案，其中應包含 vCenter 根存放區的所有 CA 憑證。
    • 測試無法如上述 KB 所述連線至 vCenter。由於檔案存在於本機，因此正在檢查這些檔案。
    • 它不會偵測到新憑證是否已新增至 vCenter 的根存放區

所有經過測試的證書都會列在vxv.log中。
若要尋找有問題的，請使用此命令：

grep "sig_hash" vxv.log | sed 's/, /\r\n/g' | grep sha1

VxVerify 會將記錄儲存在： /tmp/vxv/ 或 /var/log/mystic/vxv/
實驗室範例：

vcluster101-vxrm:/home/mystic # grep "sig_hash" vxv.log | sed 's/, /\r\n/g' | grep sha1
list result: [{'bbddxxxx.0': 'sha1WithRSAEncryption'
'3257xxxx.0': 'sha1WithRSAEncryption'
'xx:xx:xx:xx:xx:xx:xx:xx:xx:xx:xx:xx:xx:xx:xx:xx:xx:xx:xx:xx': 'sha1WithRSAEncryption'
'vcluster101-esx01.vv001.local': 'sha1WithRSAEncryption'
vcluster101-vxrm:/home/mystic #

具備完整網域名稱的項目為 vCenter 或 ESXi 憑證。
項目含有 ".0" 或指紋哈希在 ' 中/var/lib.vmware-marvin/trust' 或 '/var/lib.vmware-marvin/trust/lin' 視版本而定。

檢查找到的有問題的憑證，並將其更換為具有更強簽名演算法 （例如 SHA256） 的新憑證。如需更多資訊，請參閱：由於憑證簽章演算法較弱，在預先檢查期間升級 vCenter Server 或 ESXi 8.0 失敗 
<