CBM 証明書の置き換え後に NSX UI にアクセスできなくなる
Article ID: 428588
Updated On:
Products
Issue/Introduction
免責事項:これは英文の記事「NSX UI inaccessible post CBM cert replacement」の日本語訳です。記事はベストエフォートで翻訳を進めているため、ローカライズ化コンテンツは最新情報ではない可能性があります。最新情報は英語版の記事で参照してください。
- CBM 証明書は次の問題により置き換えられました -NSX alarms indicating certificates have expired or are expiring
- NSX Manager クラスタのステータスが低下しているときに、複数の NSX Manager ノードで証明書が次々に置き換えられます。
- 例えば、NSX Manager A の証明書が置き換えられます。サービスが再起動しクラスタのパフォーマンスが一定期間低下します。この期間中にNSX Manager B および/または C の証明書が置き換えられます。
- CARRスクリプトを使用すると、CARRスクリプト検証レポートの最後に以下のようなエラーが報告されます。
例:
+-------------------------------------------------------------------------------------------------------------------------------------------------------+| CARR Script Validation Report |+-------------------------+--------------------------------------------------------------+--------------------------------------------------------------+| Certificate Checks | Validation Results | Probable Fix |+-------------------------+--------------------------------------------------------------+--------------------------------------------------------------+
...+-------------------------+--------------------------------------------------------------+--------------------------------------------------------------+| CBM_CORFU | ERROR : <IP address> : Certificate in database does not | Certificate : 'CBM_CORFU' on disk(keystore) will be replaced || | match with keystore of corfu server <IP address> | by certificate from datastore. || | ERROR : <IP address> : Certificate in database does not | Certificate : 'CBM_CORFU' on disk(keystore) will be replaced || | match with keystore of corfu server <IP address> | by certificate from datastore. || | ERROR : <IP address> : Certificate in database does not | Certificate : 'CBM_CORFU' on disk(keystore) will be replaced || | match with keystore of corfu server <IP address> | by certificate from datastore. || | | |+-------------------------+--------------------------------------------------------------+--------------------------------------------------------------+
+-------------------------------------------------------------------------------------------------------------------------------------------------------+
| CARR Script Validation Report |
+-------------------------+--------------------------------------------------------------+--------------------------------------------------------------+
| Certificate Checks | Validation Results | Probable Fix |
+-------------------------+--------------------------------------------------------------+--------------------------------------------------------------+
...+-------------------------+--------------------------------------------------------------+--------------------------------------------------------------+| CBM_CORFU | ERROR : <IP address> : cert CBM_CORFU in keystore of | Certificate with alias <UUID> |
| | <IP address> does not match with truststore cert of | of node <IP address> will be replaced with keystore |
| | <IP address> | '<IP address>' certificate
- NSX Managerのログには証明書が正常に適用され、CBM証明書に対してPOSTリクエストが200を返したことが示されています。
/var/log/proxy/reverse-proxy.log
[TIMESTAMP] <IP> <IP> "POST" "/api/v1/trust-management/certificates/<UUID>?action=apply_certificate&service_type=CBM_[CERT_TYPE]&node_id=<UUID>" "HTTP/1.1" 200 - 0 0 1738 842 "<IP>" "<UUID>" "<FQDN" "127.###.###.###:7440"
- NSX Manager のログに不正な証明書が表示される
/var/log/proton/nsxapi.log
[TIMESTAMP] WARN netty-1 NettyClientRouter 493572 userEventTriggered: unhandled event SslHandshakeCompletionEvent(javax.net.ssl.SSLHandshakeException: error:14094412:SSL routines:ssl3_read_bytes:sslv3 alert bad certificate)io.netty.handler.codec.DecoderException: javax.net.ssl.SSLHandshakeException: error:14094412:SSL routines:ssl3_read_bytes:sslv3 alert bad certificate影響を受ける証明書によっては、他のログ ファイルにもエラーが含まれる場合があります。ccp - /var/log/cloudnet/nsx-ccp.log
CBM - /var/log/cbm/cbm.log
corfu - /var/log/corfu/corfu.9000.log
messaging-manager - /var/log/messaging-manager/messaging-manager.log
mp/proton - /var/log/proton/nsxapi.log
site-manager - /var/log/site-manager/sm.log
ar - /var/log/async-replicator/ar.log
cm-inventory - /var/log/cm-inventory/cm-inventory.log
idps-reporting - /var/log/idps-reporting/idps.log
monitoring - /var/log/phonehome-coordinator/phonehome-coordinator.log
upgrade-coordinator - /var/log/upgrade-coordinator/upgrade-coordinator.log
- クラスタが劣化状態のままになる可能性がある
- NSX UIにアクセスできない
- 証明書を置き換えた後、数日以内に NSX UI にアクセスできなくなる可能性があります。
Environment
VMware NSX 4.1.x
VMware NSX 4.2.0.x
Cause
CBM証明書置換タスクと定期同期タスクの間に競合状態が発生しています。その結果、Corfu DBのpublic trust storeが更新されません。このため、サービスはCorfu DBへの接続に失敗します。
Resolution
この問題は、Broadcom Downloads から入手可能な VMware NSX 4.2.1 で解決されています。Broadcom Downloads.
ソフトウェアの検索やダウンロードに問題がある場合は、 Download Broadcom products and software KB を確認してください。
この問題が発生した場合は、CARR script 1.19以降を実行してください。
それでも問題が解決しない場合は、サービスリクエストを開き、こちらのKB記事「Creating and managing Broadcom support cases」を参照して、VMware NSX サポートにお問い合わせください。
Feedback
