cd ~/

Home of Daniel Graf

Benutzer-Werkzeuge

Webseiten-Werkzeuge


Seitenleiste

cd ~/

Home of Daniel Graf

Seiten

Suche

Blog Meta

Dynamo Dresden

Galerie

blog:vmware_-_certificate_from_trusted_roots_expires_on

VMware - Certificate from 'TRUSTED ROOTS' expires on ...

Nein! Das ist nicht mein erster Blog Post in englisch :-D Ich fand nur, dass es für den Titel keine bessere Formulierung gab, als direkt die Fehlermeldung (in gekürzter Form) zu verwenden ;-)

Vor noch nicht so langer Zeit habe ich im vCenter Log eines Kunden die folgende Meldung gesehen:

[warn] Certificate 'CN=*.customer.com,O=Customer United,L=Some Location,ST=Some State,C=DE' from 'TRUSTED_ROOTS'
       expires on 2018-06-25 23:59:59.000

„Nun gut, nichts besonderes“ dachte ich mir. Im vCenter also das Menü Certificate Authority geöffnet und die Einträge der Root Certificates kontrollieren… Da war allerdings das gemeldete Zertifikat nicht gelistet!? Nach einem Telefonat mit dem Kunden hat sich herausgestellt, dass er mal versucht hat ein eigenes Zertifikat (von einer eigenen CA) einzuspielen. Dabei ist aber irgendetwas (O-Ton Kunde ;-)) schief gegangen, weshalb auf dem vCenter ein Rollback initiiert wurde. Und offensichtlich ist dabei das Zertifikat im Root Certificates Store hängengeblieben, ohne dass es im vSphere Web Client angezeigt wird.

Über die CLI des vCenters (hier eine vCenter Server Appliance) lässt sich das Problem lösen. Zuerst sollte ein Backup aller Zertifikate in allen Trust Stores erstellt werden:

for _TRUST_STORE in $( /usr/lib/vmware-vmafd/bin/vecs-cli store list ) ; do
  echo "Store name: ${_TRUST_STORE}" >> /tmp/all_certificates
  /usr/lib/vmware-vmafd/bin/vecs-cli entry list --store ${_TRUST_STORE} >> /tmp/all_certificates
done

Über den folgenden Befehl kann man sich alle Zertifikate des Stores Root Certificates anzeigen lassen:

/usr/lib/vmware-vmafd/bin/vecs-cli entry list --store TRUSTED_ROOTS --text

Bei der Ausgabe wird zu jedem Zertifikat auch die Alias ID ausgegeben, ein 40 Zeichen langer alpha-nummerischer String. Über den Zertifikats String lässt sich die dazugehörige Alias ID ermitteln.

Mit dieser Alias ID lässt sich nun das Zertifikat aus dem Store entfernen:

/usr/lib/vmware-vmafd/bin/vecs-cli entry delete --store TRUSTED_ROOTS --alias <Alias ID>

Anschließend kann man sich alle Zertifikate des Stores noch mal ansehen. Die Meldung im vSphere Web Client muss man natürlich noch manuell löschen.

Diskussion

Geben Sie Ihren Kommentar ein. Wiki-Syntax ist zugelassen:
 
blog/vmware_-_certificate_from_trusted_roots_expires_on.txt · Zuletzt geändert: 2019/02/01 09:29 von Daniel Graf