Inventarliste in vSphere Web-Client unvollständig / Inventory-Dienst läuft nicht korrekt

Nach dem Einsetzen von eigenen bzw. öffentlichen Zertifikaten in VCSA basierend auf vSphere 5.5 unterscheiden sich die Inventarlisten und Anzeigen in vSphere-Webclient im Vergleich zu vSphere-Client. Der Webclient ist daraufhin sogar unbrauchbar geworden.

Umgebung

  • VMware ESXi 5.5.x
  • VMware vCenter 5.5.x Appliance
  • Keine Standard-Zertifikate für VCSA

Problem

Wenn VCSA mit abweichenden Zertifikaten einer Inhouse – oder öffentlichen CA betrieben wird kann es nach dem Erstellen/Platzieren der Zertifikate auf der VCSA zu Problemen mit dem Ausführen des Webclients kommen. Genauer gesagt läuft der Inventory-Dienst nicht mehr richtig. Die Statusanzeigen über SSH sowie dem Web-UI hingegen deuten daraufhin dass alles in Ordnung zu sein scheint.

Allerdings erscheinen ab diesem Zeitpunkt in der Weboberfläche keinerlei Änderungen mehr die am System durchgeführt wurden. Rudimentäre Arbeiten wie VM-Neustart o. ä. lassen sich hingegen noch über das Web-UI durchführen.

Lösung

  • Bitte prüfe, ob die OpenSSL-Zertifikate mit OpenSSL 0.9.8 erstellt wurden. Generierte private-Keys mit OpenSSL-Versionen >0.9.8 sind im Format PKCS8 statt dem von VCSA erwarteten PKCS1 erstellt worden.
  • Die Implementierung der PKCS8-Files klappt zwar problemlos jedoch hat der Inventory-Dienst dann damit Probleme, den Private-Key auszulesen was zu o. g. Verhaltensweisen führt.

 

Wie erkenne ich PKCS8-Dateien?

Öffne eine der .key-Files auf dem System die die .csr-Dateien mit OpenSSL >0.9.8 erstellt wurden.

Enthält diese Datei im Header den Text

—–BEGIN RSA PRIVATE KEY—–

so handelt es sich um die für VCSA korrekte Version 0.9.8 im PKCS1-Format.

 

Ist hingegen im .key-Header

—–BEGIN PRIVATE KEY—–

enthalten, so ist die Datei vom Typ PKCS8 und muss mit OpenSSL und folgendem Kommando konvertiert werden.

openssl rsa -in pk8.key -out pk1.key

Die neuen .key-Files müssen dann natürlich noch in gewohnter Weise auf der VCSA platziert werden.

Externe Links

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.