Ostatnio dość intensywnie testujemy vSphere 6.0, w tym staramy się wypracować właściwe podejście do jednej z nowości jaką jest VMCA. Do tej pory używaliśmy z powodzeniem własnego, lokalnego CA (w obu wariantach, RootCA i SubCA). Wprowadzenie przez VMware kolejnego, własnego (pośredniczącego) CA trochę nam skomplikowało zarządzanie certyfikatami (jak pewnie wszystkim). Jako że Certificate Manager jest mało wygodny w użyciu gdy generujemy certyfikaty dla maszyn lub usług to ja osobiście polecam mój własny skrypt CA. Wystarczy zainicjować w tym skrypcie nowy pośredniczący CA a następnie przekopiować certyfikat i klucz (root_signing_cert) z VMCA do mojego CA. Szybkość i wygoda użycia są o wiele lepsze (szczególnie gdy musimy wygenerować i zainstalować certyfikaty na ESXi).
Temat tego wpisu jest jednak inny, problem z jakim się spotkaliśmy dotyczy i vCSA i vCenter zainstalowanym na systemie Windows. Po wygenerowaniu nowego certyfikatu dla vCenter podpisanego przez nasze CA (opcja 2 w Certificate Manager – Custom Signing Certificate) i restarcie usługi okazało się, że są spore problemy z ESX Agent Manager (EAM). Wystarczyło wejść w vSphere Web Client do Administration –> vCenter Server Extension –> vSphere ESX Agent Manager –> Solution aby zetknąć się z komunikatem “HTTP Status 500 – NoVCenterConnection”:
W logu EAM /storage/log/vmware/eam/eam.log pojawiają się wpisy świadczące o tym, że EAM nie może się zalogować do vCenter.
Okazało się, że jest to spowodowane nieprawidłową podmianą certyfikatu w trakcie restartu usług vCenter. Na szczęście jest na to odpowiednie KB, rozwiązanie jest proste, wymaga jednak dodatkowego restartu vCenter:
Po restarcie wszystko wraca do normy.