На просторах сети можно найти полезную утилиту для администраторов систем виртуализации VMware под названием vCert. vCert — копия программы от поддержки VMware, честно стыренная кем-то и разошедшаяся по Интернет. Скрипт применяется для починки всего, связанного с сертификатами в vCenter 6.x и 7.x.
При анализе сертификатов с помощью данной утилиты заметил что истёк сертификат VMDir.
Checking Certificate Status
-----------------------------------------------------------------
Checking VMDir certificate EXPIREDДоверенные корневые сертификаты не просрочены, и с другими службами проблем нет. Но как-то неуютно. Обычно истёкшие сертификаты в vCenter приводят к проблемам.
Набрёл на статью, в которой описывается данная проблема.
https://knowledge.broadcom.com/external/article/405123/vcert-tool-reports-vmdir-certificate-exp.html
В файле /var/log/vmware/vCert/vCert.log можно увидеть нечто подобное:
YYYY-MM-DDTHH:MM:SS - [operation.check_certificate - check_file_system_certificate] - INFO - Checking certificate at /usr/lib/vmware-vmdir/share/config/vmdircert.pem
YYYY-MM-DDTHH:MM:SS - [operation.check_certificate - check_certificate_basic] - WARNING - Certificate is expired- Начиная с VMware vCenter Server 7.x и более поздних версий, сертификат VMDIR больше не используется системой активно. Этот сертификат устарел и не требуется для нормальной работы vCenter.
- Файлы устаревших сертификатов остаются в системе от предыдущих версий.
- Устаревший файл сертификата /usr/lib/vmware-vmdir/share/config/vmdircert.pem по-прежнему находится в системе.
- Утилита проверки vCert продолжает отслеживать эти файлы, даже если они больше не функциональны.
- Файлы сертификатов существуют как устаревшие остатки, но не влияют на функциональность системы.
Однако, у меня проблема на vCenter 6.5, так что решение, которое я использовал, вероятно, тоже подойдёт.
Что делать?
А можно ничего не делать.
Для своего успокоения можно подменить сертификат. Переходим в директорию с сертификатом:
cd /usr/lib/vmware-vmdir/share/configДелаем резервную копию сертификата:
cp vmdircert.pem vmdircert.pem.backupУдаляем сертификат.
rm vmdircert.pemЭкспортируем Machine SSL сертификат.
/usr/lib/vmware-vmafd/bin/vecs-cli entry getcert --store MACHINE_SSL_CERT --alias __MACHINE_CERT > /tmp/machine_ssl.pemДелаем замену сертификата.
cp /tmp/machine_ssl.pem /usr/lib/vmware-vmdir/share/config/vmdircert.pem
Чистим за собой.
rm /tmp/machine_ssl.pemПерезапускаем службы.
service-control --stop --all && service-control --start --allПроверяем сертификаты снова с помощью vCert.
Всё зелёное.
