Stisknutím tlačítka "Enter" přeskočíte na obsah

vCenter VAMI certificate error

Poté, co jsem nahradil certifikát PSC certifikační autority, stále mi jeden certifikát hlásil neplatnost, resp. chybu.

Konkrétně se jednalo o certifikát používaný na Appliance Management rozhraní. (https://<vCenter>:5480)

Prohlížeč navíc označoval stránky jako nedůvěryhodné díky HSTS, jelikož na stejné adrese se vyskytovaly 2 různé certifikáty. (Postup pro smazání HSTS zde: https://www.thesslstore.com/blog/clear-hsts-settings-chrome-firefox/)

Našel jsem na to následně KB https://kb.vmware.com/s/article/2136693, které to popisuje jako known bug již od verze 6.0.

Postup je velmi jednoduchý a navazuje tam kde jsme skončili po výměně certifikátu (viz. Nastavení vCenter PSC jako intermediate autority).

Stále budeme potřebovat certifikát, který nám vygenerovala certifikační autorita a certifikát autority samotné.

Pokud již nemáte spojený certifikát chain, tak jej znovu vytvořte. Pokud máte, můžete použít stávající.

cat vmca_issued_cert.cer > root_signing_chain.cer
cat ca.cert.pem >> root_signing_chain.cer

Nakopírujte vzniklý Chain do složky „/etc/applmgmt/appliance“

cp root_signing_cert.cer /etc/applmgmt/appliance/ca.crt

následně si otevřete soubor s konfigurací VAMI pro editaci:

vi /opt/vmware/etc/lighttpd/lighttpd.conf

Kdo VI editor zná, přidá následující řádek do konfigurace:

ssl.ca-file = "/etc/applmgmt/appliance/ca.crt"

Kdo VI editor nezná, tak detailní postup:

  1. Pro vyhledání ideálního umístění:
    <ESC> /ssl\.
  2. Přepnout do Insert mode
    <I>
  3. zapsat řádek s konfigurací
    ssl.ca-file = "/etc/applmgmt/appliance/ca.crt"
  4. Uložit a zavřít editor
    <ESC> :x!

Pak už jen restartovat VAMI službu

/etc/init.d/vami-lighttp restart

Přece jen prostředí vypadá lépe když má zelené certifikáty a nemusíte opakovaně v prohlížeči schvalovat bezpečnostní výjimku.