vCenter Zertifikate erneuert, NSX lässt sich nicht mit dem LookupService verbinden

13.11.2020 Leave a comment

Nach dem Austausch des Maschinen-Zertifikat und den Lösungszertifikaten kann der NSX-Manager nicht mehr connected werden.

Es war mal soweit, es mussten ein paar Zertifikate erneuert werden, Da denkt man, super, da gibt es ja den “renew”-Button und alles ist erledigt. Normal ist das auch richtig, aber mit NSX sieht das ganze ein wenig unfertig aus.

Nachdem diese ersetzt wurden, muss man, wenn man auf Self-Sign Zertifikate setzt, in allen Applikationen das neue Zertifikat bestätigen, da dies ja so nicht verifiziert werden kann. es sei den, man hat das CA Zertifikat überall eingelesen.

Nun wollten wir auch im NSX-Manager den LookupService und das vCenter reconnecten. Beim vCenter lief das alles auch problemlos, aber beim LookupService kam folgender Fehler zurück:

NSX Management Service operation failed (Initialization of Admin Registration Service Provider failed. Root Cause: Error occurred while registration of lookup service.com.vmware.vim.vmoid.core.exception.CertificateValidationException. Server certificate chain not verified)

Da stösst man dann recht schnell auf folgenden Beitrag:

https://kb.vmware.com/s/article/2132645

Der Beschreibt auch, wie man das Problem verifizieren soll, erklärt dann aber auch, wie man alle Zertis neu erstellen soll.

Schritt für Schritt:

  • Melde dich am Managed Object Browser an (MOB) vcenter
    https://vCenter_IP/lookupservice/mob?moid=ServiceRegistration&method=List
  • Melde dich mit administrator@vsphere.local an
  • Im Dialog lösche alles raus ausser <filterCriteria></filterCriteria>
  • Klicke auf Invoke Method
  • Suche nach sts/STS

Du findest hier nun das aktuell registrierte Zertifikat. Den Inhalt von anyURI kannst du nun in eine Datei certificate.cer laden und dann im Windows öffnen. Du wirst feststellen, dass das nicht der gleiche Stempel ist, denn du eigentlich vom vCenter zurückbekommst. Sprich hier wurde vergessen, den Eintrag anzupassen.

Nun kann man noch ein paar mal versuchen, die Zertis zu erstellen, aber via CLI oder man bedient sich eines Scripts von VMware, dass nicht wirklich weit verbreitet ist.

Das Script ist einerseits hier zu finden in der ganzen Community Diskussion: https://communities.vmware.com/t5/vSphere-Upgrade-Install/upgrade-6-7u3-to-7-0-cert-issues/m-p/2290322 oder auch gleich hier zum herunterladen.

ls_ssltrust_fixer_p3.pyDownload

Das Script wurde ursprünglich eigentlich erstellt, um das Problem mit den ungültigen Chains zu automatisieren, welches hier beschrieben ist: https://kb.vmware.com/s/article/2121701

Zur Nutzung: Du überträgst das Script wieder auf dein vCenter in den Ordner /usr/lib/vmidentity/tools/scripts. Der Pfad muss korrekt sein, da Module aus dem Ordner angezogen werden.

/usr/lib/vmidentity/tools/scripts
chmod +x ls_ssltrust_fixer_p3.py
python ls_ssltrust_fixer_p3.py -f scan
# SNAPSHOT YOUR APPLIANCE
python ls_ssltrust_fixer_p3.py -f fix

Wir wechseln in den entsprechenden Ordner, machen das Script ausführbar und beginnen mit einem Scan. Hier wird das Script nun ausgeben, ob irgendwelche Chains korrigiert werden müssen.

Ist dies der Fall, machen wir einen Snapshot von der VM und führen dann den fix aus. Im Anschluss das vCenter durchstarten

service-control --stop --all
service-control --start --all

Leave a Reply

Your email address will not be published. Required fields are marked *