15.03.2022

Сертификаты в VCENTER или как поломать перезагрузкой

Ох и натерпелся.. После перезагрузки Vcenter 6.7 перестал запускатся. VMware Postgres и все остальное В логах ничего приличного но часто просальзывало ssl чтото типа такого 

Mar  8 22:23:39 vcenter vmafdd t@140613991257856: Added cert to VECS DB: c5e18cb86220e127cc4577195aecd8d849fe247b
Mar  8 22:23:39 vcenter vmafdd t@140613991257856: [Error - 1006, ../../common/ssl.c:1964]
Mar  8 22:23:39 vcenter vmafdd t@140613991257856: [Error - 1006, ../../common/ssl.c:491]
Mar  8 22:23:39 vcenter vmafdd t@140613991257856: [Error - 1006, ../../common/ssl.c:663]
Mar  8 22:23:39 vcenter vmafdd t@140613991257856: [Error - 1006, ../../../server/vmafd/vecsserviceapi.c:1928]
Mar  8 22:23:39 vcenter vmafdd t@140613991257856: [Error - 1006, ../../../server/vmafd/vecsserviceapi.c:2238]
Mar  8 22:23:39 vcenter vmafdd t@140613991257856: [Error - 1006, ../../../server/vmafd/vecsserviceapi.c:1400]
Mar  8 22:23:39 vcenter vmafdd t@140613991257856: [Error - 1006, ../../../server/vmafd/vecsserviceapi.c:717]
Mar  8 22:23:39 vcenter vmafdd t@140613991257856: VecsSrvAddCertificate returning 1006
Mar  8 22:23:39 vcenter vmafdd t@140613991257856: [Error - 1006, ../../../server/vmafd/rootfetch.c:841]
Mar  8 22:23:39 vcenter vmafdd t@140613991257856: [Error - 1006, ../../../server/vmafd/rootfetch.c:270]
Mar  8 22:23:39 vcenter vmafdd t@140613991257856: Failed to update trusted roots. Error [1006]
вот тут интересней 
less /var/log/vmware/vapi/endpoint/endpoint.log
и тут 
less /var/log/vmware/vmafdd/vmafdd-syslog.log
После двух суток мучений: Законнектился по ssh 
cd /etc/ssl/certs
for i in `grep -l "BEGIN X509 CRL" *`;do openssl crl -inform PEM -text -noout -in $i | grep -A 1 " Authority Key Identifier";done
и тут полезли ошибки что файлов не существует контрольный: 
for i in `grep -l "BEGIN CERTIFICATE" *`;do openssl x509 -in $i -noout -text | grep -A 1 "Subject Key Identifier";done
тут все норм Теперь надо поубирать ненужные сертификаты: Делаем скрипт: 
vi crl-fix.sh:
#!/bin/bash
cd /etc/ssl/certs
mkdir /tmp/pems
mkdir /tmp/OLD-CRLS-CAs
mv *.pem /tmp/pems && mv *.* /tmp/OLD-CRLS-CAs
h=$(/usr/lib/vmware-vmafd/bin/vecs-cli entry list --store TRUSTED_ROOT_CRLS --text | grep Alias | cut -d : -f 2)
for hh in "echo "${h[@]}"";do echo "Y" | /usr/lib/vmware-vmafd/bin/vecs-cli entry delete --store TRUSTED_ROOT_CRLS --alias $hh;done
mv /tmp/pems/* .
for l in `ls *.pem`;do ln -s $l ${l/pem/0};done
service-control --stop vmafdd && service-control --start vmafdd
устанавливаем права на выполнение 
# chmod +x crl-fix.sh
запускаем 
# ./crl-fix.sh
и перегружаем vcenter
Ярлыки: , ,

Комментариев нет :

Отправить комментарий

Подписаться на: Комментарии к сообщению ( Atom )