Die Foren-SW läuft ohne erkennbare Probleme. Sollte doch etwas nicht funktionieren, bitte gerne hier jederzeit melden und wir kümmern uns zeitnah darum. Danke!

VCSA 6.5 aktualisieren der Zertifikate schlägt fehl

Alles zum Virtualisierungsmanagement und Servermanagement, was nicht direkt in ein festes Version-Schema paßt.

Moderatoren: irix, Dayworker

Member
Beiträge: 1
Registriert: 14.11.2017, 08:50

VCSA 6.5 aktualisieren der Zertifikate schlägt fehl

Beitragvon mam201 » 14.11.2017, 09:30

Ich bin seit einigen Wochen dabei ein VMware-Lab für ein paar Kollegen aufzubauen.

Dafür habe ich zwei Host mit 6.5 installiert und hierfür auch schon gültige Zertifikate eingepflegt.

Danach hatte ich vor, die VCSA zu implementieren. Habe das Setup über den ui-Installer auf meinem Windows-PC ausgeführt und durchlaufen lassen.
Alles soweit ok. PSC wurde auch erfolgreich installiert.
Über das Appliance-Management habe ich dann noch die Zeitzone angepasst und den Zugriff via Shell / Bash erlaubt.

Anschließend den Certificate Manager aufgerufen, die benötigten Informationen wie Hostname, Ländercode "DE", Organisation, usw. mitgegeben und die Dateien "vmca_issued_csr.csr" und "vmca_issued_key.key" generieren lassen.
Mit WinSCP hatte ich vor, die Dateien auf meinen Windows-Rechner zu kopieren, was als erstes nicht ging.
An dieser Stelle half mir dann ein KB-Artikel von VMware:

https://kb.vmware.com/s/article/2107727


Über unsere Active Directory Zertifikatsdienste habe ich mit der CSR-Datei ein Zertifikat generieren lassen.
Dann das Zertifikat heruntergeladen und ebenso die Zertifikatskette.
Aus der Zertifikatskette habe ich das Stammzertifikat exportiert und dieses zusammen mit dem VCSA-Zertifikat wieder via WinSCP auf die Appliance übertragen.
Über den Certificate-Manager habe ich die Dateien eingebunden. Hat er auch soweit genommen.
Danach aktualisiert die VCSA die Dienste, stoppt diese und versucht sie anschließend wieder neu zu starten.

Bei 85% des Startvorgangs bricht der Vorgang dann komplett ab und es wird ein Rollback durchgeführt. Jedes Mal. (Siehe Screenshot im Anhang)

Werfe ich dann einen Blick in das certificate-manager.log (ebenfalls im Anhang), heißt es am Ende der Zeile "Operation timed out"

Kann ich den Timeout-Wert irgendwie erhöhen?
Ich hab es schon mehrmals probiert, dann die VCSA komplett gelöscht und neu deployed, gleiches Fehlerbild.

Irgendjemand eine Idee?



Auszug_Certificate_Manager.txt
(3.64 KiB) 175-mal heruntergeladen
VCSA_Rollback.png

Guru
Beiträge: 2731
Registriert: 23.02.2012, 12:26

Re: VCSA 6.5 aktualisieren der Zertifikate schlägt fehl

Beitragvon ~thc » 15.11.2017, 07:41

Ein paar generelle Anmerkungen:

- Wenn man auf einem Host (bei dir: VCSA) einen Schlüssel und ein CSR erzeugt, verbleibt der Schlüssel immer auf dem Host - woanders hat er nichts zu suchen.

- Das CSR dient der CA der Erzeugung des Zertifikats - es kann auf dem Host gelöscht werden und zur Sicherheit bei der CA hinterlegt bleiben oder auch dort nach der Erzeugung des Zertifikats gelöscht werden.

- Wenn die Zertifikatskette neben dem Stammzertifikat Intermediate-Zertifikate enthalten sollte, müssen die auf dem Host ebenfalls vorhanden sein.

- Das einfache Kopieren von Stamm- und Intermediate-Zertifikaten an den richtigen Ort reicht oft nicht aus - die Liste muss durch geeignete Kommandos (z.B. Linux: "c_rehash") aktualisiert werden.

Experte
Beiträge: 1006
Registriert: 30.10.2004, 12:41

Re: VCSA 6.5 aktualisieren der Zertifikate schlägt fehl

Beitragvon mbreidenbach » 15.11.2017, 19:01

Ich habe die Prozedur für VCSA 6.0 und 6.5 erfolgreich durchgeführt; sowohl mit einer Root CA als auch mit einer Root und einer Intermediate CA. Ich würde mal vermuten daß da irgendwas mit dem generierten Zertifikat nicht stimmt.

vcsaprivate.key : Private Key der VCSA
vcsapublic.cer: signierter Public Key der VCSA
rootca.cer: Public Key der Root CA
intermediate.cer: Public Key der Intermediate CA (falls vorhanden, es kann auch mehrere in der Kette geben)
cachain.pem: enthält intermediate und root ca public keys
vcsachain.pem: enthält signierter Public Key der VCSA, intermediate und root CA public keys

cachain.pem:
copy /b intermediate.cer + rootca.cer cachain.pem

copy /b vcsapublic.cer + intermediate.cer + rootca.cer vcsachain.pem

Der vcsachain.pem wird zur VCSA hochgeladen und installiert. Ich habe zusätzlich cachain.pem und vcsapublic.cer hochgeladen damit ich die mit OpenSSL auf der VCSA checken kann:

Prüfen ob Public + Private key zusammenpassen:
/usr/bin/openssl x509 -noout -modulus -in vcsapublic.cer
/usr/bin/openssl rsa -noout -modulus -in vcsaprivate.key
Es muß das gleiche rauskommen.

Prüfen ob der Public Key zur CA Chain paßt:
/usr/bin/openssl verify -verbose -CAfile cachain.pem vcsapublic.cer

Ich habe mindestens einmal beim Export der CA Zertifikate Murks gemacht; da schlägt dann der 2. Test fehl.

Für die Installation wird eine Datei benötigt in der die Zertifikate der CAs (root + etwaige intermediate) und der signierte public key drinstehen - hier die vcsachain.pem.

(Hoffe ich hab das beim tippen nicht vergurkt... im Original standen Servernamen von Kunden drin das käme nicht so toll an)

Die beste Erklärung für Zertifikatstausch habe ich auf der Website von Derek Seaman gefunden.
https://www.derekseaman.com/2015/02/vsp ... ction.html


Zurück zu „vCenter / VMware VirtualCenter“

Wer ist online?

Mitglieder in diesem Forum: 0 Mitglieder und 9 Gäste