VMware vCenter Üzerinden Expired Sertifikalar Nasıl Silinir?

Merhabalar,

Bu makalemde, yine sistem yöneticileri için can sıkıcı bir konunun nasıl çözülebileceğinden bahsedeceğim. Süresi dolmuş olan sertifikaların vCenter üzerinden silinme mantığını çok kısa ve net bir şekilde işleyeceğiz.

Bildiğiniz gibi sertifikalar, iki nokta arasındaki güven ilişkisini tesis eder. Herhangi bir hizmet talep edici, bir sistemden hizmet talep ettiğinde ve bu sertifikayı gördüğünde, gerçekten o kaynaktan hizmet aldığından ve bu hizmetin güvenli kanallardan gerçekleştiğinden emin olabilmektedir. Eğer bu sertifikalar bulunamazsa, bu kanalın güvensiz olduğu yönünde uyarılar da alınmaktadır.

Eğer bir sertifikanın süresi dolmuşsa ve yenilenmemişse, sistemlerinize login olmada da sorunlar yaşayabilirsiniz. İşte bu makalenin konusu da sistemde var olan ve expire olmuş sertifikaların, bu sistemlerden nasıl kaldırılacağı olacaktır.

VMware vSphere 7 versiyonuyla birlikte, birçok kurum yeni versiyona upgrade işlerini yaptılar ya da hali hazırda yapmaktalar. Bu konu o kurumların da canını sıkan bir konudur. Çünkü, eğer sistemde expire olan bir sertifika varsa, vCenter upgrade işlemi, bu sertifikaları silene kadar yapılamaz… Sertifikayı yenileseniz de bir şekilde expire olan sertifika burada durmakta ve onların temizlenmesi gerekmekte. Aşağıdaki hata, upgrade sırasında alabileceğiniz hataya bir örnektir.

Şimdi işin mantığını aktaracağım. Bir sertifika, sistem tarafından yayınlanır değil mi? O zaman silme mantığı şu olmalı :

  • Öncelikle, expire olan ama yayınlanmaya devam eden sertifikayı yayından kaldırırız,
  • Yayından kaldırdığımız sertifikayı sileriz.

İşin mantığı bu kadar.

Başlamadan önce uyarılar…

Başlamadan önce, birkaç önemli bildirimi de bu noktada yapmak istiyorum.

  • Yanlış Sertifika yayından veya VECS’den kaldırılırsa, bu geri alınamayan zararlar verebilir. Dolayısıyla işlem öncesinde elinizde yedeğinizin veya snapshot’ınızın olmasını öneriyorum.
  • Sildiğiniz Sertifikanın, silinecek doğru sertifika olduğundan kesinlikle emin olun.
  • Ortamdaki tüm Platform Services Controller’ların (Platform Hizmetleri Denetleyicilerinin) kapalı olduğundan emin olun ve hepsinin anlık görüntüsünü (Snapshot) alın. Snapshot işlemi tamamlandığında tüm PSC’leri açın. Ayrıca, vCenter Sistemlerinin de anlık görüntülerini alın.

Şimdi örnek bir sistemimizi inceleyelim.

Benim vCenter sunucumda 2 tane expire olmuş sertifika var. Malesef sistemimi upgrade ettikten sonra expire olduğu için, upgrade adımında nasıl takılacağını size gösteremiyorum şu an 🙂 Fakat yukarıda paylaştığım resimdeki gibi bir hata alacaksınız.

Sertifikaları görebilmek için, administrator@vsphere.local kullanıcısıyla login olmanız gerekmektedir.

Bu sertifikaların detayına baktığımızda aşağıdaki bilgileri görmekteyiz.

Diğer expire olan sertifika da aşağıdaki gibidir.

Expire olan sertifikalar, Root CA sertifikaları değil de sizin kurum sertifikanız da olabilirdi. Hangisi olduğu hiç farketmez, hepsinde aynı işlemleri yapabiliyoruz.

Süresi dolan sertifikaları, TRUSTED_ROOTS VECS Mağazasından silme işlemleri

Bu sertifikalar, VMware Endpoint Certificate Store (VECS) üzerindeki TRUSTED_ROOTS store üzerinde bulunurlar. Burada tutulan sertifikaların listesini görmek için aşağıdaki komutu kullanıyoruz.

Öncelikle, kullanacağımız komut, vCenter Server Appliance üzerinde şu path’de bulunur:

/usr/lib/vmware-vmafd/bin

Aşağıdaki komutu kullanarak VMware Dizin Hizmeti’nde yayımlanan güvenilen sertifikaları listeleyebilirsiniz. (administrator@vsphere.local parolası gerekir).

/usr/lib/vmware-vmafd/bin/dir-cli trustedcert list

Az önce yukarıda, detaylarına baktığımız, süresi dolmuş olan sertifikamızın detayına göre, silmemiz gereken 2 sertifikanın bilgileri, mavi ile işaretlediklerimdir. CN (id) bilgisini kaydediyoruz.

CN (id)=ADBD987A34B426F7FAC42654EF03BDE024CB541A olanla başlayalım.

Sertifikayı yayından kaldırmak (Unpublish) için:

Öncelikle bu sertifikayı yayından kaldırıyoruz. Bunun için aşağıdaki komutları kullanıyoruz. administrator@vsphere.local parolası her aşamada istenmektedir.

/usr/lib/vmware-vmafd/bin/dir-cli trustedcert get –id ADBD987A34B426F7FAC42654EF03BDE024CB541A –login administrator@vsphere.local –outcert /tmp/oldcert.cer

/usr/lib/vmware-vmafd/bin/dir-cli trustedcert unpublish –cert /tmp/oldcert.cer

Sertifikayı tamamen silmek için:

Bu adımda da silmek istediğimiz sertifikanın, vCenter Certificate Management altında görülen sertifikanın Alias’ı gereklidir. İlk silmek istediğim sertifikanın Alias’ı 02faf3e291435468607857694df5e45b68851868

/usr/lib/vmware-vmafd/bin/vecs-cli entry delete –store TRUSTED_ROOTS –alias 02faf3e291435468607857694df5e45b68851868

Expire olmuş ilk sertifika, tamamen silinmiş oldu.

Şimdi de ikince sertifika için aynı adımları tekrarlayacağım. İkinci sertifikanın CN (id) aşağıdaki gibidir. Yukarıdaki komutların aynısını uyguluyorum.

BBAF7E023DFAA6F13C848EADEE3898ECD93232D4

Son olarak her iki sertifikanın da silinmiş olduğunu teyit edelim.

/usr/lib/vmware-vmafd/bin/vecs-cli entry list –store TRUSTED_ROOTS –text | grep Alias

Bu komut çıktısında, silinen sertifikaların bilgisini göremiyor olmanız gerekiyor. Esasen, vCenter sertifika yöneticisi arayüzünde de bu sertifikaların silindiğini teyit edebilirsiniz.

Eğer hala expired şekilde burada durduğunu görüyorsanız, bu dashboard’u refresh edin. Yine görmeye devam ediyorsanız aşağıdaki komut ile refresh işlemini force edin.

/usr/lib/vmware-vmafd/bin/vecs-cli force-refresh

Son olarak, vCenter sunucunuzu restart etmenizi öneririm.

Expire olan sertifikaların silinmesi konusunda aktaracaklarım, şimdilik bu kadardır.

Yararlı olması dileğiyle.

Yusuf İşleyen

One Reply to “VMware vCenter Üzerinden Expired Sertifikalar Nasıl Silinir?”

Bir Cevap Yazın