W naszej konfiguracji (jako zaszłość po vSphere 5.5) mamy osobno serwer vCenter i osobno serwer PSC. Testując vSAN postanowiliśmy podłączyć się pod program VMware CEIP ze względu na rozszerzenie monitorowania klastra vSAN o odpytywanie VMware online. Niestety, podłączenie okazało się nie udane, po dłuższym szukaniu przyczyny, okazało się że błąd (jak zwykle) tkwi w certyfikacie. W logu virgo klienta vSphere (tak flex jak i html5) pokazały się następujące błędy (Server certificate chain is not trusted and thumbprint doesn’t match):
Dodam, że w przypadku vCenter i PSC używamy certyfikatów podpisanych przez nasze własne CA a VM CA funkcjonuje jako SubCA. Po sprawdzeniu okazało się, ku naszemu zdziwieniu, że główny certyfikat SSO jest podpisany przez RSA Identity and Access Toolkit Root CA. Aby nie robić większego zamieszania, postanowiliśmy nie przeprowadzać regeneracji tego certyfikatu a jedynie sprawdzić czy jest on obecny w zaufanym magazynie kluczy w vCenter.
Okazało się, że nie (i nie tylko on), na szczęście wystarczyło odpowiedni klucz wyeksportować i dodać z poziomu klienta vSphere UI w sekcji Administracja –> Certificate Management.
Dzięki temu prostemu trikowi udało się rozwiązać problem.