Actualización de Certificados Digitales vCS 6x/7x
Hola, en este nuevo post nos recuperaremos de un evento común que sucede en vCenter Server, el vencimiento de los certificados digitales que tiene y que los servicios cuentan para funcionar.
El error que nos indica este evento es Based on the current configuration, the SSL certificate of the authentication server was not trusted o también 503 service not available...endpoint que se presentan al tratar de ingresar a los servicios web de vCS.
Consideraciones:
- Si hay certificados caducados, como STS, Machine SSL o cualquier usuario de la solución, vCenter no podrá iniciar los servicios debido a las dependencias de los servicios.
- Si hay Certificados vencidos en BACKUP_STORES, eso activará una alarma de estado de Certificado.
- Si hay certificados caducados en trusted root que no están en uso, se activará una alarma de estado del certificado.
Verificación
Debemos verificar la fecha de caducidad de los certificados digitales para lo cual VMware nos brinda los pasos a seguir definidos en el KB82332
- Como primer paso, se debe validar el certificado de Single Sign-on Token Signing del servicio STS (VMware Security Token Service) usando un script que VMware crea y pone a disposición dentro del KB79248 y que debe ser ejecutado dentro de vCS mediante una conexión SSH, para este punto, el script fue descargado y fue subido a vCS usando WinSCP. Aceedemos a la consola Shell de vCS con Putty.
Se observa que el certificado del servicio STS va a caducar en dos días.
- Como segundo paso, se debe ejecutar el siguiente comando en Shell de vCS:
for store in $(/usr/lib/vmware-vmafd/bin/vecs-cli store list | grep -v TRUSTED_ROOT_CRLS); do echo "[*] Store :" $store; /usr/lib/vmware-vmafd/bin/vecs-cli entry list --store $store --text | grep -ie "Alias" -ie "Not After";done;
Observamos que los certificados Machine SSL y Solutions User están caducados, por lo tanto, debemos actualizar los mismos.
Solución
Para la renovación de certificados caducados debemos seguir los siguientes pasos:
- Primero debemos renovar los certificados caducados de Solutions User: Para lo cual podemos seguir el KB2112277. Se recomienda realizar esta renovación como primer paso para evitar problemas con los servicios de vCS.
Corremos el script dentro del Shell de vCS: /usr/lib/vmware-vmca/bin/certificate-manager
Escogemos de la lista el número 8 para resetear todos los certificados.
Colocamos las credenciales del usuario administrador de vCS y colocamos los datos por defecto que nos indica el script.
Todos los certificados de los servicios se actualizan. Para luego reiniciarse todos los servicios de vCS.
Por último, se debe revisar nuevamente; corriendo el comando previo, que los ceritificados de Solutions User se hayan renovado.
- Renovación de certificados STS: debemos correr el script que VMware expone en el KB76719, el mismo que renueva los certifcados STS. El script fue subido usando WinScp a la carpeta tmp.
Se da permisos al script y corremos el script.
El script nos indica la información de los FQDNs y nombres que usa el servicio STS y la fecha de expiración del certificado.
Colomos las credenciales del usuario administrador de SSO.
Finalizado el script nos indica que se detecta un certificado próximo a caducar y el reemplazo del mismo.
Por último, deben ser reiniciados los servicios usando los comandos:
service-control --stop --all
service-control --start --allUna vez reiniciados los servicios, validamos nuevamente con el script checksts
Finalmente, debemos tener en cuenta que los certificados de Machine SSL, Solutions User caducan cada dos años luego de la instalación de vCS, se recomienda activar alertas para evitar que los certificados caduquen y dejen de funcionar los servicios.
Tags: vCenterServer, vCSA, Appliance, certificados , vmsa, VMware7, python, script, checksts, fixsts