APH-TNまたはAPH-AR証明書を置き換えた後、マネージャノード間またはGMとLM間の接続が切断されます
search cancel

APH-TNまたはAPH-AR証明書を置き換えた後、マネージャノード間またはGMとLM間の接続が切断されます

book

Article ID: 431762

calendar_today

Updated On:

Products

VMware NSX

Issue/Introduction

免責事項:これは英文の記事「After replacing APH-TN or APH-AR certificates, connections between Manager nodes or between GM and LM are disconnected」の日本語訳です。記事はベストエフォートで翻訳を進めているため、ローカライズ化コンテンツは最新情報ではない可能性があります。最新情報は英語版の記事で参照してください。

 

APH-TN証明書の発行

  • 新しい証明書を作成し、API POST api/v1/trust-management/certificates/<certificate_id>?action=apply_certificate&service_type=APH_TN&node_id=<manager_node_id>にてAPH-TN証明書を置き換えました
  • 証明書は正常に置き換えられました。
  • get managersコマンドを実行すると、他のマネージャー ノードへの一部の接続が接続されていないことが示されます。 
    nsx01> get managers
    <Date> UTC <Time>
    - <IP address of Manager 1>     Standby (NSX-RPC)
    - <IP address of Manager 2>     Connected (NSX-RPC)*
    - <IP address of Manager 3>     Standby (NSX-RPC)
    注:NSX 4.2より前のバージョンでは、ノード自体への接続は常に「スタンバイ」状態です。他のノードにも注意してください。
    すべてが正常であれば、他の2つのManagerノードへの接続は「接続済み」状態になるはずです。
  • 他のマネージャー ノードのサポート バンドルを収集する際に問題が発生します。
  • /var/log/vmware/appl-proxy-rpc.log には、証明書の検証の失敗により、他の Manager ノードからの接続が継続的に失敗していることが記録されます。 
    <Timestamp> <Hostname> NSX 1812 - [nsx@6876 comp="nsx-manager" subcomp="appl-proxy" s2comp="nsx-net" tid="1846" level="INFO"] StreamSocket[1276822 Init f:-1 i:-1 ssl://0.0.0.0:1234 <- ?] Created
    <Timestamp> <Hostname> NSX 1812 - [nsx@6876 comp="nsx-manager" subcomp="appl-proxy" s2comp="nsx-net" tid="1846" level="WARNING"] Certificate validation: couldn't find SHA256 digest '<SHA256 digest of the APH-TN certificate of another Manager node>' in local trust store
    <Timestamp> <Hostname> NSX 1812 - [nsx@6876 comp="nsx-manager" subcomp="appl-proxy" s2comp="nsx-net" tid="1846" level="ERROR" errorCode="NET1111"] Certificate validation failed: 18-self signed certificate#012Certificate:#012    Data:#012        Version: 3 (0x2)#012        Serial Number: <Serial number of the certificate> #012    Signature Algorithm: sha256WithRSAEncryption#012        Issuer: CN=VMware-NSX-ApplProxyHub; O=VMware Inc.; L=Palo Alto; ST=California; C=US#012        <snip>
    <Timestamp> <Hostname> NSX 1812 - [nsx@6876 comp="nsx-manager" subcomp="appl-proxy" s2comp="nsx-net" tid="1846" level="ERROR" errorCode="NET4"] NetTransport[1] Accept on endpoint 'ssl://0.0.0.0:1234' failed with error 336105606-certificate verify failed
    <Timestamp> <Hostname> NSX 1812 - [nsx@6876 comp="nsx-manager" subcomp="appl-proxy" s2comp="nsx-rpc" tid="1846" level="WARNING"] RpcTransport[1] Accept on 'ssl://0.0.0.0:1234' failed with error 336105606-certificate verify failed
    <Timestamp> <Hostname> NSX 1812 - [nsx@6876 comp="nsx-manager" subcomp="appl-proxy" s2comp="nsx-net" tid="1846" level="INFO"] StreamConnection[1276821 Closing on ssl://0.0.0.0:1234 sid:1276821] Closing (reason: network error)
    <Timestamp> <Hostname> NSX 1812 - [nsx@6876 comp="nsx-manager" subcomp="appl-proxy" s2comp="nsx-net" tid="1846" level="INFO"] StreamConnection[1276821 Closed on ssl://0.0.0.0:1234 sid:-1] Closed (reason: network error, error: 0-Success)
    <Timestamp> <Hostname> NSX 1812 - [nsx@6876 comp="nsx-manager" subcomp="appl-proxy" s2comp="nsx-net" tid="1846" level="INFO"] StreamConnection[1276821 Deleted on ssl://0.0.0.0:1234 sid:-1] Pending callback count [0]
    <Timestamp> <Hostname> NSX 1812 - [nsx@6876 comp="nsx-manager" subcomp="appl-proxy" s2comp="nsx-net" tid="1846" level="INFO"] StreamSocket[1276821 Closing f:62 i:508046837 ssl://0.0.0.0:1234 <- <IP address of another Manager node>:37220] DoClose

     

APH-AR証明書の発行

  • 新しい証明書を作成し、API POST api/v1/trust-management/certificates/<certificate_id>?action=apply_certificate&service_type=APH&node_id=<manager_node_id>にてAPH-AR証明書を置き換えました
  • 証明書は正常に置き換えられました。
  • GM から LM への状態同期が切断されます。

Environment

VMware NSX 4.1.x
VMware NSX 4.2.x

Cause

各ノードの APH-TN 証明書と APH-AR 証明書のサブジェクトは一意である必要があります。

複数の証明書が同じサブジェクトを持つ場合、信頼できるのは 1 つの証明書のみであり、証明書の検証に失敗したために他のノードからの接続は拒否されます。

Resolution

APH-TN 証明書と APH-AR 証明書のsubjectが一意であることを確認してください。

  1. ファイル /etc/vmware/nsx-appl-proxy/appl-proxy-public-cfg.json から各マネージャーノードの APH UUID を取得します。 
    root@nsx01:~# cat /etc/vmware/nsx-appl-proxy/appl-proxy-public-cfg.json 
    { "uuid" : "53####25-a##1-4##2-b##e-############" }
  2. 署名する自己署名証明書または CSR を作成し、以下のように CN に UUID を含めます。 
    VMware-NSX-ApplProxyHub/UID=<手順 1 で取得した UUID。
  3. CSR が署名されている場合は、署名された証明書をインポートします。
  4. 証明書を適用します。
    • APH-TN 証明書: POST api/v1/trust-management/certificates/<certificate_id>?action=apply_certificate&service_type=APH_TN&node_id=<manager_node_id>
    • APH-AR 証明書: POST api/v1/trust-management/certificates/<certificate_id>?action=apply_certificate&service_type=APH&node_id=<manager_node_id>
Powered by Wolken Software