{"id":3734,"date":"2020-05-04T17:31:00","date_gmt":"2020-05-04T15:31:00","guid":{"rendered":"https:\/\/vm.piszki.pl\/?p=3734"},"modified":"2021-05-04T17:34:01","modified_gmt":"2021-05-04T15:34:01","slug":"vsphere-6-7u3-unable-to-push-ca-certificates-and-crls-to-host","status":"publish","type":"post","link":"https:\/\/vm.piszki.pl\/?p=3734","title":{"rendered":"vSphere 6.7U3 – Unable to push CA certificates and CRLs to host"},"content":{"rendered":"

Aktualna wersja vCenter 6.7U3 przynios\u0142a ze sob\u0105 ciekaw\u0105 zmian\u0119, jak mo\u017cemy przeczyta\u0107 tu<\/a>, wszystkie certyfikaty CA trusted store musz\u0105 mie\u0107 ustawion\u0105 flag\u0119 X509v3 Basic Constraints: CA: TRUE. Brak tej flagi w jakimkolwiek certyfikacie blokuje w zasadzie wszelkie operacje na certyfikatach, pojawia si\u0119 b\u0142\u0105d \u201cCertificate is not valid CA certificate\u201d. Dzi\u015b na przyk\u0142adzie problemu z od\u015bwie\u017ceniem certyfikat\u00f3w CA na poziomie hosta, poka\u017c\u0119 jak sobie z tym poradzi\u0107. Generalnie, tak jak pisa\u0142em w tym po\u015bcie<\/a>, w magazynie certyfikat\u00f3w CA vCenter powinien panowa\u0107 porz\u0105dek, ba\u0142agan niesie ze sob\u0105 same problemy.<\/p>\n

\"ca3\"<\/a><\/p>\n

<\/p>\n

W ramach przygotowa\u0144 do od\u015bwie\u017cenia certyfikatu vCenter (machine cert), postanowi\u0142em dogra\u0107 do trusted store nowe certyfikaty CA oraz przes\u0142a\u0107 je do wszystkich host\u00f3w ESXi. Procedura zatrzyma\u0142a si\u0119 bardzo szybko z komunikatem:<\/p>\n

\"ca0\"<\/a><\/p>\n

Zaraz za komunikatem \u201cCertificate is not valid CA certificate\u201d jest wylistowany certyfikat, i nie by\u0142 to \u017caden z certyfikat\u00f3w CA kt\u00f3re doda\u0142em. Jak si\u0119 okaza\u0142o, po sprawdzeniu zawarto\u015bci trusted store, znajdowa\u0142 si\u0119 tam certyfikat vCenter (w dodatku dawno nie aktualny).<\/p>\n

\"ca1\"<\/a><\/p>\n

\"ca2\"<\/a><\/p>\n

Do pewnego momentu stosowali\u015bmy certyfikaty podpisane przez zewn\u0119trzne CA dla vCenter, p\u00f3\u017aniej przeszli\u015bmy na certyfikaty generowane przez VMCA podpisane przez MSCA. Ten certyfikat to pozosta\u0142o\u015b\u0107 po migracji i zdecydowanie jego obecno\u015b\u0107 jest niezgodna z polityk\u0105 6.7U3. Aby rozwi\u0105za\u0107 problem certyfikat vCenter nale\u017cy usun\u0105\u0107 z trusted store, robimy to z poziomu pow\u0142oki systemu vCenter. Listujemy zawarto\u015b\u0107 trusted store:<\/p>\n

\"ca4\"<\/a><\/p>\n

Listujemy certyfikaty aby sprawdzi\u0107 w\u0142a\u015bciwy ID certyfikatu, nast\u0119pnie eksportujemy interesuj\u0105cy nas certyfikat i na ko\u0144cu usuwamy go z VMDIR:<\/p>\n

\"ca5\"<\/a><\/p>\n

Na ko\u0144cu usuwamy ten certyfikat z VECS:<\/p>\n

\"ca6\"<\/a><\/p>\n

Wszystkie kroki wykonujemy zgodnie z tym KB<\/a>, jako \u017ce skasowali\u015bmy certyfikat kt\u00f3ry nie by\u0142 wykorzystywany, nie musimy wykonywa\u0107 jakiegokolwiek restartu. Mo\u017cemy od razu od\u015bwie\u017cy\u0107 certyfikaty CA na ESXi:<\/p>\n

\"ca7\"<\/a><\/p>\n

<\/div>","protected":false},"excerpt":{"rendered":"

Aktualna wersja vCenter 6.7U3 przynios\u0142a ze sob\u0105 ciekaw\u0105 zmian\u0119, jak mo\u017cemy przeczyta\u0107 tu, wszystkie certyfikaty CA trusted store musz\u0105 mie\u0107 ustawion\u0105 flag\u0119 X509v3 Basic Constraints: CA: TRUE. Brak tej flagi w jakimkolwiek certyfikacie blokuje w zasadzie wszelkie operacje na certyfikatach, … Continue reading →<\/span><\/a><\/p>\n","protected":false},"author":1,"featured_media":0,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"yasr_overall_rating":0,"yasr_post_is_review":"","yasr_auto_insert_disabled":"","yasr_review_type":"","footnotes":""},"categories":[36,45],"tags":[44,146,144,145],"class_list":["post-3734","post","type-post","status-publish","format-standard","hentry","category-analiza","category-poradniki","tag-ca","tag-vecs","tag-vmca","tag-vmdir"],"yasr_visitor_votes":{"stars_attributes":{"read_only":false,"span_bottom":false},"number_of_votes":0,"sum_votes":0},"_links":{"self":[{"href":"https:\/\/vm.piszki.pl\/index.php?rest_route=\/wp\/v2\/posts\/3734"}],"collection":[{"href":"https:\/\/vm.piszki.pl\/index.php?rest_route=\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/vm.piszki.pl\/index.php?rest_route=\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/vm.piszki.pl\/index.php?rest_route=\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/vm.piszki.pl\/index.php?rest_route=%2Fwp%2Fv2%2Fcomments&post=3734"}],"version-history":[{"count":2,"href":"https:\/\/vm.piszki.pl\/index.php?rest_route=\/wp\/v2\/posts\/3734\/revisions"}],"predecessor-version":[{"id":3823,"href":"https:\/\/vm.piszki.pl\/index.php?rest_route=\/wp\/v2\/posts\/3734\/revisions\/3823"}],"wp:attachment":[{"href":"https:\/\/vm.piszki.pl\/index.php?rest_route=%2Fwp%2Fv2%2Fmedia&parent=3734"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/vm.piszki.pl\/index.php?rest_route=%2Fwp%2Fv2%2Fcategories&post=3734"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/vm.piszki.pl\/index.php?rest_route=%2Fwp%2Fv2%2Ftags&post=3734"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}