Je suis finalement parti sur le modèle hybride, afin de sécuriser les composants web accessibles, sans pour autant avoir à certifier tous les hôtes ESXi. Ce qui aurait généré une énorme charge de travail sans réellement augmenter le niveau de sécurité, car ils sont tous dans un réseau isolé. Quant à l’autre mode, il était tout simplement inenvisageable d’un point de vue sécurité que le composant VMware Certificate Authority (VMCA) soit autorité de certification intermédiaire de l’organisation.

Si comme moi, vous rencontrez un petit problème pendant l’opération voilà ce qui pourrait vous dépanner.

Après les vérifications de base à l’aide de la KB2112277 Replacing a vSphere 6.x Machine SSL certificate with a Custom Certificate Authority Signed Certificate .

Vérifier en particulier l’ordre des certificats si vous avez un intermédiaire que ce soit pour votre certificat machine ou le root. Tout semble correct pourtant, vous obtenez un message :

Get service ce17b127-314e-4b54-bcef-4b60f2073297_com.vmware.vco
Status : 0% Completed [Operation failed, performing automatic rollback]
 
Error while replacing Machine SSL Cert, please see /var/log/vmware/vmcad/certificate-manager.log for more information.

notez l’ID du dernier plugin défaillant avant le Status ici : ce17b127-314e-4b54-bcef-4b60f2073297_com.vmware.vco

Généralement suivi d’une tentative de rollback qui se révélera infructueuse :

Get service ce17b127-314e-4b54-bcef-4b60f2073297_com.vmware.vco
 
Error while reverting certificate for store : MACHINE_SSL_CERT
Rollback Status : 0% Completed [Rollback operation failed]
 
Error while performing rollback operation, please try Reset operation…
 
please see /var/log/vmware/vmcad/certificate-manager.log for more information.

La première étape consiste à aller supprimer la dernière extension incriminée, ici “com.vmware.vco” depuis le Managed Object Browser (MOB). La procédure est décrite ici : Reregister Plug-In Solution in vCenter Server After Upgrade or Migration

Vous retentez l’opération, il y a le même message d’erreur sur le même plugin mais avec un ID différent. Alors, vous avez de fortes chances d’être en Enhanced Linked Mode (ELM), comme moi. Il faut dé-enregistrer le plugin du lookup service car les Platforms Services Controller (PSC) se sont répliquées.

Get service 2b627796-64ae-4a31-8f5e-72256645c180_com.vmware.vco
Status : 0% Completed [Operation failed, performing automatic rollback]
 
Error while replacing Machine SSL Cert, please see /var/log/vmware/vmcad/certificate-manager.log for more information.
 
Performing rollback of Machine SSL Cert…

cette fois l’ID est différent : 2b627796-64ae-4a31-8f5e-72256645c180

Depuis votre PSC, (le mien est encore externe, mais je le réintégrerai avec la mise à jour 6.7 U1) lancez la ligne de commande ci-dessous. N’oubliez pas de personnaliser le compte admin/mdp et l’ID du plug-in qui est venu en erreur lors de votre dernière tentative.

/usr/lib/vmidentity/tools/scripts/lstool.py unregister --url 'http://localhost:7080/lookupservice/sdk' --user "administrator@vsphere.local" --password 'password' --id '2b627796-64ae-4a31-8f5e-72256645c180_com.vmware.vco' --no-check-cert

L’opération devrait fonctionner mais, elle est éventuellement à renouveler s’il y a d’autres plugins bloquants.

Update 18/03/2019 : Les étapes ci-dessus m’ont été fourni par le GSS, et il s’avère que sans être fausse, il suffit de supprimer les plugins indiqués par les IDs bloquants depuis le MOB des autres vCenter qui sont en ELM. Relancer le remplacement du certificat et renouveler les suppressions tant que la taches n’arrivent pas à 100%

Status : 100% Completed [All tasks completed successfully]
 
 
Please restart all services in associated vCenter Server/s for changes made in Platform Service Controller machine to reflect
 
Perform restart operation on the vCenter Server/s by using ‘service-control –stop –all’ and ‘service-control –start –all’

Pensez à redémarrer les services comme indiqué, puis vous devriez pouvoir constater que votre certificat est correctement signé.