NSX で、[グローバル構成] タブのサーバ証明書のチェックを外すと失敗する
search cancel

NSX で、[グローバル構成] タブのサーバ証明書のチェックを外すと失敗する

book

Article ID: 336594

calendar_today

Updated On:

Products

VMware NSX

Issue/Introduction

  • NSX で、[グローバル構成] タブのサーバ証明書のチェックを外すと失敗する。
  • 次のエラーが表示される。

    Failed to read certs & secrets. : 002 forgetting secrets
  • IPsec VPN サービスを無効にすると問題は解決するように見えるが、無効にした後で IPsec を変更すると、同じエラーが発生する。




Environment

VMware NSX for vSphere 6.2.x

Resolution

この問題は次の各アップデートで修正されました。
  • VMware NSX for vSphere 6.2.8。
  • VMware NSX for vSphere 6.3.2。
アップグレードせずにこの問題を回避するには、REST API を使用してサイト構成から証明書エントリを削除します。 

:その後、IPsec サービスへの任意の構成変更が許可されます。

Method – GET
URL(Header) - https:/NSXMGR_IP/api/4.0/edges/(edge-id)/ipsec/config
Output:-
<ipsec>
<version>20</version>
<enabled>true</enabled>
<disableEvent>false</disableEvent>
<logging>
<enable>true</enable>
<logLevel>warning</logLevel>
</logging>
<sites>
<site>
<enabled>true</enabled>
<name>Site1</name>
<localId>x.x.x.x</localId>
<localIp>x.x.x.x</localIp>
<peerId>x.x.x.x</peerId>
<peerIp>x.x.x.x</peerIp>
<encryptionAlgorithm>aes</encryptionAlgorithm>
<enablePfs>true</enablePfs>
<dhGroup>dh14</dhGroup>
<localSubnets>
<subnet>x.x.x.0/24</subnet>
</localSubnets>
<peerSubnets>
<subnet>x.x.x.0/24</subnet>
</peerSubnets>
<psk>******</psk>
<certificate>certificate-9</certificate> <===========================>Certificate is not validate for PSK, need to remove this certificate.
<authenticationMode>psk</authenticationMode>
</site>
</sites>
<global>
<psk>******</psk>
<caCertificates/>
<crlCertificates/>
</global>
</ipsec>

証明書を削除するには、次の API 呼び出しを使用します。

Method – PUT
URL(Header) - https://NSXMGR_IP/api/4.0/edges/(edge-id)/ipsec/config
Output:-
<ipsec>
<enabled>true</enabled>
<disableEvent>false</disableEvent>
<logging>
<enable>true</enable>
<logLevel>warning</logLevel>
</logging>
<sites>
<site>
<enabled>true</enabled>
<name>Site1</name>
<localId>x.x.x.x</localId>
<localIp>x.x.x.x</localIp>
<peerId>x.x.x.x</peerId>
<peerIp>x.x.x.x</peerIp>
<encryptionAlgorithm>aes</encryptionAlgorithm>
<enablePfs>true</enablePfs>
<dhGroup>dh14</dhGroup>
<localSubnets>
<subnet>x.x.x.0/24</subnet>
</localSubnets>
<peerSubnets>
<subnet>x.x.x.0/24</subnet>
</peerSubnets>
<psk>******</psk>
<authenticationMode>psk</authenticationMode>
</site>
</sites>
<global>
<psk>******</psk>
<caCertificates/>
<crlCertificates/>
</global>
</ipsec>

 



Powered by Wolken Software