[TS] vCenter 인증서 교체 작업 오류에 대한 문제해결 가이드

Intro

vCenter 인증서 교체 작업 시 발생할 수 있는 오류에 대해 가이드한다.

 

 

인증서 관리자 시작 안됨

증상

vCenter Server Appliance CLI에서 인증서 관리자를 사용하는 경우, 비밀번호 입력 후 오류 발생

Error Message

- MACHINE_SSL_CERT에 대한 백업 인증서 파일을 생성하는 중 오류가 발생했습니다

 

원인

인증서 관리자가 /var/tmp/vmware/ 폴더에 백업을 시도 하지만, 해당 폴더가 존재하지 않음

 

해결

/var/tmp/vmware 폴더 생성

mkdir /var/tmp/vmware/

 

참고문서

인증서 관리자를 시작할 수 없는 오류

 

 

서명 인증서가 유효하지 않음

VxRail HCI 장비로 배포된 vCenter STS(Security Token Service)인증서가 만료되고, vCenter 접속 불가 시 발생할 수 있는 문제

 

증상

/var/log/vmware/vpxd-svcs/vpxd-svcs.log

unable to find valid certification path to requested target at ~

 

Error Message

Status : 0% Completed [Reset operation failed]

Error while performing rollback operation, please try Reset operation...

Please see /var/log/vmware/vmcad/certificate-manager.log for more information

 

작업 진행 시 문제 증상

Rollback 및 서비스 재기동, 서비스 Start 85%에서 Holding, 전체 서비스 올라오지 않음  

 

원인

STS(Security Token Service) 인증서가 만료된 경우 발생하며, 내부 서비스 및 솔루션 사용자가 유효한 토큰을 얻을 수 없게 되어 정상적인 작동이 불가능함.

 

해결

1) STS 인증서 재생성 및 교체 파일 다운로드 ( attachemnts - fixsts.sh )

2) vCenter Server에 fixsts.sh 파일 반입

 - vCenter Server에 ISO 파일 마운트 하는 방법, 원하는 경로에 파일 copy하는 방법 

3) PSC, vCenter 스냅샷 생성 (Embedded PSC의 경우 vCenter만 스냅샷 생성)

4) STS 인증서 갱신 및 서비스 재기동

# vCenter에서 /bin/bash 실행 권한 추가
chsh -s /bin/bash

# Shell 파일에 실행권한 추가
chmod +x fixsts.sh

# STS 인증서 갱신
./fixsts.sh

# 서비스 재시작
 service-control --stop --all && service-control --start --all

 

참고 문서

STS 인증서 갱신 방법

 

 

vSphere Client에서 vSAN 정보 로드 실패

VxRail HCI 장비로 배포된 vCenter의 인증서 교체/갱신 작업 시 발생할 수 있는 문제

 

증상

vSAN 스토리지 기능은 정상적이나, vSphere Client내의 모든 vSAN 모듈에 빈 화면과 오류 메시지 표시.

 

vSAN Services

unable to retrieve the cluster configuration. Check vSphere Client logs for details.

 

vSAN Fault Domains

Unable to query vSAN health information. Check vSphere Client logs for details

 

/var/log/vmware/vsphere-ui/logs/vsphere_client_virgo.log

Cuased by: javax.net.ssl.SSLHandshakeException: Server Certificate Chain is not trusted and thumbprint verification is not configured

 

원인

조회 서비스의 SSL Trust Mismatch로 인해 vSphere Client에서 vSAN 모듈을 로드하는데 실패 함.

 

조회 서비스(Lookup Service)란?

PSC(Platform Service Controller)에서 제공하는 SSO(Single-Sign-On) ecosystem의 component 중 하나로, 이 서비스는 443포트를 사용하여 vCenter에 연결하는 모든 구성 요소의 위치를 등록하여 서로 찾고 안전하게 통신할 수 있도록 한다.

 

해결

'lsdoctor' 툴을 활용하여 SSL Trust 값 수정

 

1) lsdoctor 툴 다운로드 ( attachemnts - lsdoctor.zip )

2) vCenter Server에 lsdoctor 툴 반입

 - vCenter Server에 ISO 파일 마운트 하는 방법, 원하는 경로에 파일 copy하는 방법 

3) PSC, vCenter 스냅샷 생성 (Embedded PSC의 경우 vCenter만 스냅샷 생성)

4) 조회서비스 문제 확인

python <path>/lsdoctor.py -l          //ex) python /tmp/lsdoctor/lsdoctor.py -l

 

5) 조회서비스 SSL Trustfix

python <path>/lsdoctor.py -t          //ex) python /tmp/lsdoctor/lsdoctor.py -t

 

6) vCenter 서비스 재시작

service-control --all --stop && service-control --all --start

 

참고 문서

vCenter Client에서 vSAN 모듈 정보 로드에 실패함

lsdoctor 툴 사용 가이드

 

 

인증서 갱신 후 vSphere Client에서 CA 인증서 만료 알림 발생

증상

vSphere Web Client에서 CA 인증서 만료에 대한 Critical 경보 알림 발생

 

원인

VECS(VMware Endpoint Certificate Store)에 존재하는 만료된 기존 SSL 인증서에 의해 알림 발생

 

해결

만료된 인증서를 삭제하거나 만료 기한이 지나면 자동으로 발생하지 않음

인증서 제거 방법은 하단 KB 참조

 

참고 문서

vCenter 인증서 알람; 백업 인증서 삭제

 

 

Reference

1. 인증서 관리자를 시작할 수 없는 오류

2. vCenter Client에서 vSAN 모듈 정보 로드에 실패함

3. lsdoctor 툴 사용 가이드

4. vCenter 인증서 알람; 백업 인증서 삭제

5. VxRail에서 vCenter 인증서 만료 후 로그인 불가