vCenter summary tabında “Certificate Status” hatası alıyorsanız mevcut kullanmış olduğunuz veya kullanım dışındaki sertifikalarınızın süresi bitmiştir veya bitmek üzeredir.
Hangi sertifikanın bittiğini tespit etmek için aşağıdaki komutu çalıştırmanız gerekiyor.
for i in $(/usr/lib/vmware-vmafd/bin/vecs-cli store list); do echo STORE $i; sudo /usr/lib/vmware-vmafd/bin/vecs-cli entry list --store $i --text | egrep "Alias|Not After"; done
Komutu çalıştırdıktan sonra yukarıdaki kırmızı pencere içindeki sertifikaların süresi bitmiş ise solution user sertifikalarının yenilenmesi gerekiyor demektir.
Not: data-encipherment sertifikası bu işlemin dışındadır. data-encipherment sertifikası farklı şekilde yenilenmektedir.
Solution User sertifikasının yenilenmesi için aşağıdaki adımları takip edebilirsiniz.
1- vCenter’ın memory’siz snapshot’ını alınız.
Not: vCenter HA var ise HA’yi bozunuz ve sonrasında snapshot alınız. Link Mode vCenter var ise bütün Node’ları kapatıp aynı anda snapshot alıp sonra power on ediniz.
2- Browser üzerinde vCenter server’a gidiniz ve url adresnin yanında bulunan sertifika/details/Subject Alternative Name sekmesinde yazan DNS Name’i notepad’e kaydedin.
NOT: Birden fazla SAN name olabilir. Hepsini kaydedelim. Mail adresi varsa dikkate almayabilirsiniz.
3- SSH ile vCenter’a bağlanın (root+shell)
4- /usr/lib/vmware-vmca/bin/certificate-manager komutu ile sertifika manager’a bağlanın. Aşağıdaki makaleyi referans alabilirsiniz.
How to regenerate vSphere 6.x and 7.x certificates using self-signed VMCA https://kb.vmware.com/s/article/2112283
5- 6 ile solution user sertifika resetleme menüsünü seçin.
6- Sizden bazı parametreleri doldurmanızı isteyecektir. Enter deyip devam edelim, “Enter proper value for ‘Hostname’ [Enter valid Fully Qualified Domain Name(FQDN), For Example :” kısmına kadar. Buraya 2. Adımda kaydettiğimiz DNS ismini yazıp Enter diyoruz.
Not: Birden fazla SAN name var ise “x.local, y.local” şeklinde yazılması gerekiyor.
7- Enter proper value for VMCA ‘Name’: buraya “VMCA” yazıp Enter diyoruz ve sertifika resetleme işlemi başlıyor. Biraz uzun sürebilir.
8- İşlem bittikten sonra bütün servisleri tekrar manuel olarak stop-start edelim
service-control --stop --all && service-control --start –allServisler tekrar başladıktan sonra sertifikalar yenilenmiş demektedir. Süresi dolan sertifikaları backup stores altına taşınacaktır ve vCenter üzerinde uyarı vermeye devem edecektir. Aşağıdaki makaleyi uygulayarak backup stores içerisindeki süresi geçmiş sertifikaları temizleyebilirsiniz.
Clearing BACKUP_STORES certificates in the VCSA via shell script https://kb.vmware.com/s/article/82560?lang=en_US
