vCenter 5.5.0b feletti upgrade + SSL problema

Reg nem volt mar post, ez is csak egy rovid lesz. Fontos, hogy egy upgarde elokeszites alatt mindig alaposan megnezzuk a release notes-okat (a koztes verzioket is!), mert nehany apronak tuno jelentektelen bejegyzes aztan orakba kerulhet.

Az 5.5.0c volt az a verzio, amiben az openSSL libary a Heartbleed issue miatt update-elve lett 1.0.1g-re. Kovetkezmenye, hogy a vCenter cert-et kotelezo cserelni. (5.5.0c RN)

After upgrading to vCenter Server 5.5.0c, to remediate the issue, you need to replace certificates and reset passwords.

Nalunk ezidaig meglehetosen regi vCenter verzio futott (5.5.0b, 1476327) egybol a legutolsora (5.5 U1c, 1945274) upgrade-eltem a napokban.

vCenter Server 5.5 U1c 2014-07-22 1945274 hova
vCenter Server 5.5 U1b 2014-06-12 1891313  
vCenter Server 5.5 U1a 2014-04-19 1750787  
vCenter Server 5.5.0c 2014-04-19 1750596 Heartbleed
vCenter Server 5.5 U1 2014-03-11 1623099 JRE
vCenter Server 5.5.0b 2013-12-22 1476327 honnan
vCenter Server 5.5.0a 2013-10-31 1378903  
vCenter Server 5.5 GA 2013-09-22 1312299  

(Verziok innen: KB1014508). Torent meg egy komponens frissites: 5.5 Update 1-tol felfele a JRE verzioja 7.0.450.18-ra valtozott. Ez nem tunik egy tul fontos infonak, de azert olvashato az 5.5 Update 1 RN-ban:

Security

De ez bizony nagyon fontos lehet ha valami igen regi cert-et cipelsz verziok ota, mint peldaul mi. Ugyanis a fent emlitett JRE mar nem tamogat 1024 bit-nel gyengebb certificate-et. Nalunk 2011.01.25-en, meg 4.0 alatt keszult a cert, 512 bites. Ellenorizni a

 c:\ProgramData\VMware\VMware VirtualCenter\SSL\rui.crt

megnyitasaval tudod:

cert

Ebben az esetben a kovetkezoket tapasztalhatjuk egy 5.5 U1 feletti vCenter alatt (mind megvolt:)

  • vSphere Webclient-ben nem latszik a vCenter, egy ures inventory fogad. “Failed to verify the SSL certificate for one or more vCenter Server” uzenettel, de a .NET vSphere Client-ben latszik az infrastruktura.
  • vSphere Client: Performance chart-ok (overview/advanced) nem elerhetoek: “Perf Charts service experienced an internal error”
  • vSphere Client: Host Hardware Status Tab szinten hibat dob: “Cannot access the hardware monitoring service”
  • vSphere Client: Storage Tab nem elerheto.
  • Egyeb hibauzenetek a logokban amit a KB2074942 -ban reszleteznek.

A megoldas mindket esetben a vCenter certificate-jenek ujrageneralasa es csereje mindez a JRE update miatt pedig legalabb egy 1024 bites publikus kulcs hasznalata mellett.

A kovetkezokben a csererol, MS Active Directory Certificate Services-rol, sajat CA template letrehozasrol, certificate request keszitesrol, igenyesrol, generalasrol majd az uj  certificate bejatszasarol lesz szo a VMware SSL Certificate Automation Tool hasznalataval.

Advertisements
This entry was posted in Uncategorized and tagged , , , , , , . Bookmark the permalink.

One Response to vCenter 5.5.0b feletti upgrade + SSL problema

  1. Pingback: Replace Just Expired Self-Signed vCenter SSL Certificate – Part 1: Creating | vThing

Leave a Reply

Fill in your details below or click an icon to log in:

WordPress.com Logo

You are commenting using your WordPress.com account. Log Out / Change )

Twitter picture

You are commenting using your Twitter account. Log Out / Change )

Facebook photo

You are commenting using your Facebook account. Log Out / Change )

Google+ photo

You are commenting using your Google+ account. Log Out / Change )

Connecting to %s