Poté, co jsem nahradil certifikát PSC certifikační autority, stále mi jeden certifikát hlásil neplatnost, resp. chybu.
Konkrétně se jednalo o certifikát používaný na Appliance Management rozhraní. (https://<vCenter>:5480)
Prohlížeč navíc označoval stránky jako nedůvěryhodné díky HSTS, jelikož na stejné adrese se vyskytovaly 2 různé certifikáty. (Postup pro smazání HSTS zde: https://www.thesslstore.com/blog/clear-hsts-settings-chrome-firefox/)
Našel jsem na to následně KB https://kb.vmware.com/s/article/2136693, které to popisuje jako known bug již od verze 6.0.
Postup je velmi jednoduchý a navazuje tam kde jsme skončili po výměně certifikátu (viz. Nastavení vCenter PSC jako intermediate autority).
Stále budeme potřebovat certifikát, který nám vygenerovala certifikační autorita a certifikát autority samotné.
Pokud již nemáte spojený certifikát chain, tak jej znovu vytvořte. Pokud máte, můžete použít stávající.
cat vmca_issued_cert.cer > root_signing_chain.cer cat ca.cert.pem >> root_signing_chain.cer
Nakopírujte vzniklý Chain do složky “/etc/applmgmt/appliance”
cp root_signing_cert.cer /etc/applmgmt/appliance/ca.crt
následně si otevřete soubor s konfigurací VAMI pro editaci:
vi /opt/vmware/etc/lighttpd/lighttpd.conf
Kdo VI editor zná, přidá následující řádek do konfigurace:
ssl.ca-file = "/etc/applmgmt/appliance/ca.crt"
Kdo VI editor nezná, tak detailní postup:
- Pro vyhledání ideálního umístění:
<ESC> /ssl\.
- Přepnout do Insert mode
<I>
- zapsat řádek s konfigurací
ssl.ca-file = "/etc/applmgmt/appliance/ca.crt"
- Uložit a zavřít editor
<ESC> :x!
Pak už jen restartovat VAMI službu
/etc/init.d/vami-lighttp restart
Přece jen prostředí vypadá lépe když má zelené certifikáty a nemusíte opakovaně v prohlížeči schvalovat bezpečnostní výjimku.