Dell VxRail: Jak ručně obnovit certifikát VxRail Manager u certifikační autority Active Directory

Tyto pokyny platí pro verzi VxRail 7.0.010 nebo novější a verzi 8.x.

1. Proveďte snapshot nástroje VxRail Manager s pamětí.

2. Přihlaste se do nástroje VxRail Manager přes SSH jako mystika a poté SU na uživatele root.

3. Zálohujte složku certifikátu.

# mkdir /tmp/ssl
# cp /etc/vmware-marvin/ssl/* /tmp/ssl/

4. Vygenerovat klíč v nástroji VxRail Manager.

# env OPENSSL_FIPS=1 openssl-1.0.2 genrsa -out /etc/vmware-marvin/ssl/server.key 4096

5. Změnit oprávnění server.key.

# chmod 640 /etc/vmware-marvin/ssl/server.key

6. Pokud chcete, upravte pole testpassword v souboru /etc/vmware-marvin/ssl/ca.cnf.

7. Vygenerujte CSR (žádost o podpis certifikátu).

# env OPENSSL_FIPS=1 openssl-1.0.2 req -config /etc/vmware-marvin/ssl/ca.cnf -new -key /etc/vmware-marvin/ssl/server.key -out /etc/vmware-marvin/ssl/server.csr

8. Zobrazení požadavku CSR a jeho popis a nahrání do certifikační autority AD (zkopírujte vše včetně pomlček)

# cat /etc/vmware-marvin/ssl/server.csr

9. Export certifikátů Base64 z certifikační autority. (Na zobrazené webové stránce si stáhněte certifikát a řetězec certifikátů.)
10. Otevřete řetězec certifikátů p7b na počítači se systémem Windows.
11. Klikněte pravým tlačítkem myši a exportujte všechny tři položky jako base64 .cer
12. Kombinace kořenové certifikační autority base64 a souboru dílčí .cer jeden po druhém (po otevření v textovém editoru) a umístění v nástroji VxRail Manager jako: /etc/vmware-marvin/ssl/rootcert.crt

Eg:
# cd /etc/vmware-marvin/ssl
  201  2022-09-27 20:41:40 echo '' > rootcert.crt
  202  2022-09-27 20:41:42 vi rootcert.crt
 
Side note for vi:
i to insert
right-click to paste
esc+:wq and enter to save

13. Umístěte soubor Base64 host.cer exportovaný z řetězce v nástroji VxRail Manager pomocí příkazu vi jako server.crt.

Eg:
# cd /etc/vmware-marvin/ssl
  203  2022-09-27 20:42:10 echo '' > server.crt
  204  2022-09-27 20:42:17 vi server.crt

14. Změnit oprávnění:

205  2022-09-27 20:42:49 chmod 644 rootcert.crt
206  2022-09-27 20:42:57 chmod 644 server.crt

15. Zkopírujte server.crt na server.api.gateway.crt

# cp /etc/vmware-marvin/ssl/server.crt /etc/vmware-marvin/ssl/server.api.gateway.crt

16. Změňte jeho oprávnění:

# chmod 644 server.api.gateway.crt

17. Vygenerujte pfx na místě s heslem na konci, pokud je přizpůsobeno místo testpassword:

# openssl pkcs12 -export -out /etc/vmware-marvin/ssl/server.pfx -inkey /etc/vmware-marvin/ssl/server.key -in /etc/vmware-marvin/ssl/server.crt -CAfile /etc/vmware-marvin/ssl/rootcert.crt -chain -password pass:testpassword

18. Restartujte služby:

# systemctl restart vmware-marvin runjars
# tail -f /var/log/mystic/web.log

-> It will say ADC is start when it's ready.

19. Znovu načtěte nginx:

-If VxRail Manager version is 7.0.010 ~7.0.350:
    Reload nginx, command:
    # docker exec -u root $(docker ps -q -f name=func_api-gateway) sh -c "/usr/sbin/nginx -s reload"

-If VxRail Manager version is 7.0.37x:
    Reload nginx command:
    # kubectl exec -it $(kubectl get pods -o=name | grep api-gateway) -- /usr/sbin/nginx -s reload

-If VxRail Manager version is 7.0.400 and up or 8.0.x:
    Delete secret: # kubectl delete secrets server.key
    Create new secret : # kubectl create secret generic server.key --from-file=server.key=/etc/vmware-marvin/ssl/server.key
    restart api-gateway: # kubectl rollout restart deployment api-gateway

20. Opětovná registrace modulu plug-in VxRail.

Poznámka na okraj:
Ověření certifikátu:

# openssl x509 -in /etc/vmware-marvin/ssl/server.crt -text -noout

- V tomto okamžiku by mělo být možné povolit automatické prodlužování platnosti