24 Oct 2022

VMware VCSA Certificates Expired

Внезапно VCSA 6.7 перестал авторизовывать, как доменного пользователя, так и локального администратора. После перезагрузки в web интерфейсе постоянно висела 503 ошибка:

503 Service Unavailable (Failed to connect to endpoint: [N7Vmacore4Http20NamedPipeServiceSpecE:0x00007f3d18008430] _serverNamespace = / action = Allow _pipeName =/var/run/vmware/vpxd-webserver-pipe)

Первым делом иду в логи, а именно /var/log/vmware/vpxd/vpxd.log и нахожу там следующие строки:

2022-10-24T14:37:37.776Z error vpxd[04614] [Originator@6876 sub=vmomi.soapStub[6630]] Resetting stub adapter for server <cs p:00007f9628783750, TCP:vcsa.domain.com:443> : service state request failed: N7Vmacore3Ssl18SSLVerifyExceptionE(SSL Exception: Verification parameters:
--> PeerThumbprint: BA:E3:25:18:AB:62:50:74:62:A9:19:CF:DB:1C:85:FF:FA:77:E7:5B
--> ExpectedThumbprint: 
--> ExpectedPeerName: vcsa.domain.com
--> The remote host certificate has these problems:
--> 
--> * certificate has expired)
--> [context]zKq7AVECAAAAAPb1/gANdnB4ZAAA4AArbGlidm1hY29yZS5zbwAAWCUbAP6dGACeQCIAaXEiABtFIgDTSSIAOaIjAHFvIwA6ciMAnVYrAdRzAGxpYnB0aHJlYWQuc28uMAACrY4ObGliYy5zby42AA==[/context]

Открываю браузер и проверяю информацию по сертификату, действительно срок действия истек:

Действителен с	Thu, 22 Oct 2020 16:17:37 GMT
Действителен по	Sun, 23 Oct 2022 04:17:37 GMT

Запускаем команду в shell (для linux версии) для получения списка сроков действия всех сертификатов:

for store in $(/usr/lib/vmware-vmafd/bin/vecs-cli store list | grep -v TRUSTED_ROOT_CRLS); do echo "[*] Store :" $store; /usr/lib/vmware-vmafd/bin/vecs-cli entry list --store $store --text | grep -ie "Alias" -ie "Not After";done;

[*] Store : MACHINE_SSL_CERT
Alias :	__MACHINE_CERT
            Not After : Oct 23 04:17:37 2022 GMT
[*] Store : TRUSTED_ROOTS
Alias :	520b4889e71ea0ba9aa2fa5c9ca93131188bbcf5
            Not After : Oct 17 16:17:36 2030 GMT
[*] Store : machine
Alias :	machine
            Not After : Oct 22 16:08:37 2022 GMT
[*] Store : vsphere-webclient
Alias :	vsphere-webclient
            Not After : Oct 22 16:08:38 2022 GMT
[*] Store : vpxd
Alias :	vpxd
            Not After : Oct 22 16:08:39 2022 GMT
[*] Store : vpxd-extension
Alias :	vpxd-extension
            Not After : Oct 22 16:08:39 2022 GMT
[*] Store : APPLMGMT_PASSWORD
[*] Store : data-encipherment
Alias :	data-encipherment
            Not After : Oct 22 16:11:21 2022 GMT
[*] Store : SMS
Alias :	sms_self_signed
            Not After : Oct 22 16:24:58 2030 GMT

Решение проблемы:

  • запускаем менеджер сертификатов /usr/lib/vmware-vmca/bin/certificate-manager
  • выбираем нужный нам пункт
  • вводим логин от локального администратора (дефолтное значение будет указано в скобках)
  • вводим пароль от этого пользователя
  • далее отвечаем на вопросы для генерации нового сертификата
  • ждем выполнения процесса, пока не отобразится сообщение “Status : 100% Completed [All tasks completed successfully]”

Источники:

https://kb.vmware.com/s/article/82332

https://kb.vmware.com/s/article/2112283

Похожие посты

comments powered by Disqus