Renovando/Corrigindo os certificados do NSX com o script VMware CARR

Introdução

O script VMware Certificate Analyzer, Results and Recovery (CARR) destina-se a resolver problemas de gerenciamento de certificados no NSX 3.2.x e 4.x. Ele realiza verificações de integridade e operações de recuperação para certificados auto-assinados do NSX. Como exemplo de seu uso, podemos citar a correção automática dos warnings e errors relacionados a certificados, que podem aparecer durante a etapa de Pre-Check do upgrade do NSX.

O CARR também pode ser utilizado para substituir, de maneira fácil, certificados expirados ou que expirarão em breve.

Este procedimento mostra o passo-a-passo de como renovar os certificados auto-assinados do NSX. Abaixo, como modelo de exemplo, a tela dos certificados antigos antes de rodarmos o script:

Pré-requisitos

• Fazer backup do NSX, seguindo este KB: https://techdocs.broadcom.com/us/en/vmware-tanzu/standalone-components/tanzu-kubernetes-grid-integrated-edition/1-17/tkgi/backup-and-restore-nsxt.html
• O SCP é habilitado por padrão no NSX.
  • Caso o SCP tenha sido desativado, habilitá-lo seguindo este vídeo da Broadcom: https://www.youtube.com/watch?v=mLuOlTDYnto
• Logar com o usuário root, via console, nos NSX Managers.
• Verificar se a senha do usuário admin não está expirada em nenhuma das managers, usando o comando:

get user admin password-expiration 

• Se o NSX estiver nas versões 4.1.x ou 4.2.x, pode-se rodar o script diretamente no diretório /root do NSX Manager, pois ele possui a versão necessária do Python.
• Se o vCenter estiver na versão versão 8.x, também é possível rodar o script diretamente nele, pois possui a versão adequada do Python.
• Caso contrário, é necessário criar uma VM cliente Linux (preferencialmente Ubuntu), para executar o script de renovação do certificado.
  • A VM deve ter o Python na versão mínima 3.8 instalado.
  • Deve ter acesso aos IPs de gerência dos NSX Managers, nas portas: 22, 443 e 9000.
• O script deve ser baixado do KB da Broadcom: https://knowledge.broadcom.com/external/article?articleId=369034 (no final da página, em Attachments), e transferido via SCP para o NSX Manager (diretório /root), ou para o vCenter, ou para a VM Linux, de acordo com as instruções acima.

Rodando o script

1. Logar via Putty no appliance ou VM para onde o CARR foi transferido.

2. Navegar até o diretório onde está o arquivo carr-x.xx.tar.gz (seguir o KB 369034) e extraí-lo usando o comando:

tar -xvf carr-x.xx.tar.gz

3. Entrar no diretório extraído e rodar o script:

./start.sh -o -t 825

4. Informar o IP do NSX Manager.

5. Informar a senha do usuário admin do NSX.

6. Os resultados da análise do script nas três managers serão apresentados na coluna “Validation Results”. As ações recomendadas serão apresentadas na coluna “Probable Fix”.

Revisar as informações. No exemplo abaixo, temos apenas os certificados expirando para renovar.

Caso houvessem certificados com problemas, neste passo também seriam apresentadas as correções.

Após revisar as informações, escrever Yes e Enter:

7. Este processo pode demorar, dependendo do número de ações. Ao final, será apresentada a informação: “Cluster status is : STABLE”.

8. Os certificados foram renovados, com validade de 10 anos.