Hola Amigos del Blog, en esta ocasión les escribiré sobre el procedimiento para renovar los certificados auto-firmados (self signed VMCA) de nuestro vCenter Server Appliance, dichos certificados son auto-firmados por Autoridad Certificadora de VMware.
Generalmente nos aparecen unos síntomas que en ocasiones pueden ser vinculados a otros problemas, no obstante, si hacemos un buen Troubleshooting lograremos diagnosticar precisamente nuestro problema.
Síntomas
La pagina web de vCenter Server Appliance no responde y nos arroja un error 503.
Adicionalmente se presentan problemas de autenticación local o de dominios.
Aparece un error 500 al direccionar la URL de nuestro vCenter Server Appliance al puerto 9443 (https://FQDN_vCenter:9443).
Al comprobar los certificados sobre nuestro navegador Web detectamos que el certificado está caducado.
Solución
Para comprobar y verificar específicamente cuales son los certificados caducados es necesario seguir las instrucciones señaladas en el siguiente kb de VMware https://kb.vmware.com/s/article/79248.
La solución para este problema consiste en renovar los certificados auto-firmados que vCenter Server Appliance posee expirados a través de dos procedimientos que VMware nos provee a mediante su base de conocimientos.
- Parte 1: asociado a este KB https://kb.vmware.com/s/article/76719
- Parte 2: asociado a este KB https://kb.vmware.com/s/article/2112283
Parte 1 del procedimiento
Primero debemos guiarnos por el KB https://kb.vmware.com/s/article/76719 y descargar un script desde la pagina de VMware, te dejo en el enlace aquí.
Este script denominado fixsts.sh y una vez descargado lo debemos copiar en el directorio /tmp de nuestro vCenter Server Appliance o PSC según corresponda.
En el caso de que no logres conectarte a través del cliente WinSCP a tu vCenter Server y te aparezca el siguiente error de conexión: «WinSCP: Error Received too large SFTP packet«, te dejo el sigue POST, el cual, te ayudará a solucionar el problema de conexión hacia tu vCenter Server Appliance.
Una vez copiado el script, debemos ejecutarlo con los siguientes comando sobre la sesión SSH en nuestro vCSA.
- chmod +x fixsts.sh (to make the file executable)
- ./fixsts.sh
Nos solicitará la contraseña de la cuenta Administrator@vsphere.local
Una vez concluida la ejecución del Script recibirás la siguiente información, alusiva al proceso de ejecución del scripts fixsts.sh.
Ahora debemos reiniciar todos los servicios de vCenter Server Appliance, mediante los siguientes comandos:
Ahora toca detener e iniciar todos los servicios, a través de los siguientes comandos:
service-control –stop –all
service-control –start –all
Nota: El el reinicio de los servicios fallará si hay otros certificados caducados como Machine SSL o Solution User. Continúe con el siguiente paso para identificar y reemplazar los certificados vencidos.
Una vez reiniciado los servicios de vCSA, ya se obtiene acceso a la consola Web de vCSA, podrás comprobar funcionabilidad, en el caso que el problema persista significa que aun tienes certificados expirados.
Para verificar el vencimiento y reemplazar cualquier otro certificado vencido que pueda tener, debes correr el siguiente comando el cual, te indicará el o los certificados expirados.
for i in $(/usr/lib/vmware-vmafd/bin/vecs-cli store list); do echo STORE $i; sudo /usr/lib/vmware-vmafd/bin/vecs-cli entry list --store $i --text | egrep "Alias|Not After"; done
En el caso de tener otros certificados auto-firmados expirados nos basaremos en la segunda parte de este procedimiento, el cual, hace referencia al KB de VMware https://kb.vmware.com/s/article/2112283.
Parte 2 del procedimiento
Ahora debemos guiarnos por el segundo KB https://kb.vmware.com/s/article/2112283
Para renovar los certificados de Machine SSL, Solution User y otros expirados realicemos lo siguiente.
Se debe ejecutar sobre una sesión de SSH el siguiente comando sobre una en nuestro vCSA:
/usr/lib/vmware-vmca/bin/certificate-manager
Elegiremos la opción 8. Esto reseteará todos los certificados auto-firmados expirados aún pendientes.
Para continuar con este procedimiento, debes ingresar los datos requeridos según corresponda o como referencia te dejo una imagen de extracto del kb de VMware que estamos siguiendo.
Importante: Sobre el campo nombre de VMCA deberás ingresar el nombre FQDN de vCenter Server.
Posterior al ingresar la información solicitada, se debe esperar a que el proceso concluya, debemos ser pacientes ya que puede tardar varios minutos (10 minutos aprox.).
Si todo finalizó bien y correctamente, verificaremos la fecha de nuestro certificado sobre la pagina principal de vCSA.
La nueva fecha de caducidad de este certificado renovado podrá variar según el certificado de origen.
A continuación muestro dos casos en el cual se ejecutó el mismo procedimiento y se obtuvo rangos de expiración o caducidad distintos, pero en ambos casos quedaron totalmente funcionales y operativos.
De esta manera hemos renovado los certificados auto-firmados expirados sobre nuestro vCSA.
Respecto a los certificados auto-firmados provistos por otra CA por ejemplo Microsoft, existe otro procedimiento distinto al que hemos tratado en este Post para lograrlo.
Bueno amigos, de esta forma hemos llegado al final de este post, te agradezco que te hayas dado el tiempo de leerlo en su totalidad, espero que te sea de mucha utilidad.
Te agradeceré puedas comentar, recomendar y compartir el Blog, además de suscribirte a nuestras redes sociales,
Un gran abrazo.
vNicoIT - Blog Especializado en Tecnologías de Virtualización 