VMware vCenter Server, vSphere altyapısındaki ESXi sunucularının, sanal makinelerin, kümelerin, dağıtık sanal anahtarların, depolama kaynaklarının ve yetkilendirme işlemlerinin merkezi olarak yönetilmesini sağlar. Bu merkezi yapının güvenli biçimde çalışabilmesi için vCenter bileşenleri arasında gerçekleştirilen bağlantılar sertifikalarla korunur.
Ancak vCenter Server yalnızca tarayıcıda gördüğümüz HTTPS sertifikasını kullanmaz. Machine SSL, Solution User, Security Token Service, VMware Certificate Authority, Storage Management Service ve Data Encipherment gibi farklı görevleri yerine getiren çok sayıda sertifika bulunur. Bu sertifikalardan birinin süresinin dolması; vCenter arayüzüne erişilememesine, SSO kimlik doğrulamasının çalışmamasına, VMware servislerinin başlamamasına veya ESXi sunucularıyla güven ilişkisinin bozulmasına neden olabilir.
Broadcom tarafından yayımlanan vCert, vCenter Server üzerindeki sertifikaları kontrol etmek, raporlamak, yenilemek ve sertifika yapılandırma problemlerini gidermek amacıyla geliştirilmiş, menü tabanlı bir sertifika yönetim aracıdır. Araç; vCenter Server 7.0, 8.0 ve 9.0 sürümlerini desteklemektedir.
vCenter sertifikası sona erdiğinde ne olur?
vCenter Server sertifikalarının süresi dolduğunda karşılaşılabilecek belirtiler sertifikanın türüne göre değişebilir. En sık karşılaşılan sorunlar şunlardır:
- vSphere Client giriş ekranının sürekli yüklenmesi
503 Service Unavailablehatasıno healthy upstreamhatası- Identity Provider bilgileri alınırken hata oluşması
- SSO kimlik doğrulama hataları
- “Signing certificate is not valid” uyarısı
- VAMI arayüzünde
CERTIFICATE_VERIFY_FAILEDhatası vpxd,vpxd-svcsveya diğer VMware servislerinin başlamaması- Certificate Status alarmının kırmızı duruma geçmesi
- vCenter yeniden başlatıldıktan sonra servislerin açılamaması
Broadcom’a göre bu problemler özellikle Machine SSL, Solution User veya STS sertifikalarının geçerlilik süresini doldurması durumunda ortaya çıkabilir.
Bu nedenle sertifika yenileme işlemi yalnızca tarayıcı uyarısını kaldırmaya yönelik bir işlem olarak değerlendirilmemelidir. Sertifikalar vCenter’ın servisler arası kimlik doğrulama ve güven mimarisinin temel bir parçasıdır.
vCenter sertifika mimarisini anlamak
vCert aracını kullanmadan önce vCenter içerisinde bulunan temel sertifika bileşenlerini anlamak gerekir.
Machine SSL Certificate
Machine SSL sertifikası, vCenter Server’ın dışarıya sunduğu ana HTTPS sertifikasıdır. Kullanıcıların vSphere Client üzerinden bağlandığı 443 numaralı portta çalışan reverse proxy servisi bu sertifikayı kullanır.
Machine SSL sertifikası içerisinde vCenter’ın Primary Network Identifier, yani PNID bilgisi bulunmalıdır. PNID genellikle vCenter Server’ın tam etki alanı adıdır:
vcenter01.contoso.local
vCert aracı, Machine SSL sertifikasını kontrol ederken PNID değerinin Subject Alternative Name alanında bulunup bulunmadığını da doğrular. PNID ile sertifikadaki DNS adı eşleşmezse sertifika yenileme işlemleri başarısız olabilir veya istemciler isim uyuşmazlığı hatası alabilir.
PNID bilgisini görmek için aşağıdaki komut kullanılabilir:
/usr/lib/vmware-vmafd/bin/vmafd-cli get-pnid --server-name localhost
Özellikle Custom CA tarafından imzalanan bir Machine SSL sertifikası hazırlanacaksa sertifikadaki DNS ve SAN bilgileri PNID ile uyumlu olmalıdır.
Solution User sertifikaları
Solution User sertifikaları, vCenter Server içerisindeki servislerin SSO ile kimlik doğrulaması yapmasını sağlar.
Başlıca Solution User sertifikaları şunlardır:
machine
vsphere-webclient
vpxd
vpxd-extension
hvc
wcp
Bu sertifikaların kullanım alanları farklıdır:
machine: Component Manager, License Service ve Logging Service gibi bileşenler tarafından kullanılır.vsphere-webclient: vSphere UI, vAPI Endpoint ve performans bileşenleri tarafından kullanılır.vpxd: vCenter’ın temel yönetim servisi ve API Proxy işlemleri tarafından kullanılır.vpxd-extension: SMS, EAM ve Content Library gibi servisler tarafından kullanılır.hvc: Hybrid vCenter ve Cloud Gateway bağlantılarında kullanılabilir.wcp: Tanzu, Supervisor ve vSphere Cluster Services gibi bileşenlerle ilişkilidir.
Solution User sertifikalarından birinin süresi dolduğunda vCenter’ın bazı servisleri SSO ile kimlik doğrulaması yapamaz. Bu nedenle yalnızca Machine SSL sertifikasının yenilenmesi bütün problemleri çözmeyebilir.
VMware Certificate Authority – VMCA
VMCA, vCenter Server içerisinde bulunan yerleşik sertifika otoritesidir. Varsayılan vSphere kurulumlarında Machine SSL, Solution User ve ESXi sertifikalarının önemli bir bölümü VMCA tarafından imzalanır.
VMCA kendi kendine imzalanmış bir Root CA olarak çalışabilir. Kurumsal gereksinimlere bağlı olarak bazı ortamlarda özel sertifika mimarileri de kullanılabilir. Ancak VMCA’nın kurumsal sertifika otoritesinin subordinate veya intermediate CA’sı olarak çalıştırılması ek güvenlik ve operasyonel riskler oluşturabileceği için Broadcom tarafından genel olarak önerilmemektedir.
VMCA Root sertifikasının süresinin dolması, bu otorite tarafından imzalanmış diğer sertifikaları da etkileyebileceğinden önemli bir problemdir.
Security Token Service – STS sertifikası
Security Token Service, vCenter Single Sign-On tarafından oluşturulan güvenlik belirteçlerini imzalar. Kullanıcı veya servis vCenter’a giriş yaptığında SSO tarafından oluşturulan token’ların güvenilirliğinin doğrulanmasında STS sertifikası kullanılır.
STS sertifikasının süresi dolduğunda aşağıdaki sorunlar görülebilir:
- Kullanıcılar doğru parola kullansa bile vCenter’a giriş yapamaz.
- SSO kimlik doğrulaması başarısız olur.
- Zamanlanmış görevlerde kimlik doğrulama problemi oluşur.
- vCenter servisleri birbirleriyle iletişim kuramaz.
- “Signing certificate is not valid” hatası alınır.
STS sertifikası standart Solution User sertifikaları gibi doğrudan VECS içerisinde tutulmaz. STS sertifikasının kontrol ve yenileme işlemleri için vCert kullanılabilir.
STS sertifikası değiştirildiğinde mevcut kimlik doğrulama token’ları geçersiz hale gelebilir. Özellikle domain kullanıcılarıyla oluşturulmuş Scheduled Task tanımları varsa bu görevlerin yeniden oluşturulması gerekebilir.
VMware Endpoint Certificate Store – VECS
VECS, vCenter Server üzerindeki sertifikaların, özel anahtarların ve güvenilir kök sertifikaların tutulduğu yerel sertifika deposudur.
VECS depolarını listelemek için aşağıdaki komut kullanılabilir:
/usr/lib/vmware-vmafd/bin/vecs-cli store list
Sistemin yapılandırmasına ve vCenter sürümüne bağlı olarak aşağıdaki depolar görülebilir:
MACHINE_SSL_CERT
TRUSTED_ROOTS
TRUSTED_ROOT_CRLS
machine
vsphere-webclient
vpxd
vpxd-extension
hvc
wcp
data-encipherment
SMS
BACKUP_STORE
STS_INTERNAL_SSL_CERT
KMS_ENCRYPTION
MACHINE_SSL_CERT deposunda vCenter’ın ana HTTPS sertifikası bulunurken TRUSTED_ROOTS deposunda güvenilir Root CA sertifikaları tutulur. Solution User sertifikaları ise kendi isimleriyle oluşturulan ayrı VECS depolarında yer alır.
VECS içerisindeki sertifikaların sürelerini komut satırından görüntülemek için şu komut kullanılabilir:
for store in $(/usr/lib/vmware-vmafd/bin/vecs-cli store list | grep -v TRUSTED_ROOT_CRLS); do
echo "Store: $store"
/usr/lib/vmware-vmafd/bin/vecs-cli entry list \
--store "$store" \
--text | grep -Ei "Alias|Not After"
done
Bu komut yalnızca temel tarih kontrolü sağlar. Sertifika zinciri, imza algoritması, Key Usage, PNID, trust anchor ve VMware Directory eşleşmeleri gibi daha kapsamlı kontroller için vCert tercih edilmelidir.
vCert aracı ne işe yarar?
vCert yalnızca süresi dolmuş sertifikaları değiştiren basit bir script değildir. Araç aşağıdaki işlemleri gerçekleştirebilir:
- Mevcut sertifikaların sağlık durumunu kontrol etme
- Sertifika bilgilerini okunabilir biçimde görüntüleme
- Machine SSL ve Solution User sertifikalarını yönetme
- VMCA ve STS sertifikalarını değiştirme
- SSL Trust Anchor kayıtlarını denetleme
- VECS depolarını ve izinlerini kontrol etme
- Sertifikaları VMCA imzalı sertifikalarla sıfırlama
- ESXi sertifika güven ilişkilerini kontrol etme
- VMware servislerini yeniden başlatma
- Ayrıntılı sertifika raporu oluşturma
Araç, süresi dolmuş sertifikaların yanında 30 gün içerisinde süresi dolacak sertifikaları da tespit eder. Ayrıca sertifika zincirinde eksik CA bulunması, geçersiz alias kullanılması, desteklenmeyen imza algoritmaları, yanlış Key Usage değerleri ve aynı Subject bilgisine sahip birden fazla CA sertifikası gibi sorunları kontrol eder.
İşleme başlamadan önce alınması gereken önlemler
1. Geçerli bir yedek oluşturunuz
Sertifika değişikliği vCenter’ın kimlik doğrulama, servis kaydı ve güven altyapısını etkiler. Hatalı bir değişiklik vCenter Server’ın tamamen erişilemez hale gelmesine neden olabilir.
İşlem öncesinde aşağıdakilerden en az biri bulunmalıdır:
- VAMI üzerinden alınmış geçerli file-based backup
- Standalone vCenter için kapalı durumda alınmış VM snapshot
- Enhanced Linked Mode ortamında bütün vCenter düğümlerinin aynı anda kapatılarak alınmış tutarlı snapshot’ları
Broadcom, sertifika değişikliklerinden önce geçerli bir VAMI yedeği veya SSO domainindeki bütün vCenter ve PSC düğümlerinin offline snapshot’larının alınmasını istemektedir.
2. Enhanced Linked Mode ortamlarında tüm düğümleri birlikte değerlendirin
Enhanced Linked Mode kullanılan yapılarda vCenter düğümleri VMware Directory verilerini birbirleriyle çoğaltır. Bir vCenter’ın eski snapshot’a döndürülüp diğerlerinin güncel durumda bırakılması, VMware Directory replikasyonunun tutarsız hale gelmesine neden olabilir.
Bu nedenle ELM ortamında:
- Aynı SSO domainindeki bütün vCenter düğümlerini belirleyin.
- Bütün düğümleri kontrollü biçimde kapatın.
- Snapshot’ları bütün düğümler kapalı durumdayken alın.
- Geri dönüş gerekirse bütün düğümleri aynı snapshot noktasına döndürün.
- Tüm geri dönüş işlemleri tamamlanmadan düğümleri açmayın.
Broadcom, sertifika değişikliklerini ELM ortamında offline snapshot gerektiren işlemler arasında açıkça belirtmektedir.
3. vCenter HA yapılandırmasını kontrol edin
vCenter High Availability kullanılan ortamlarda normal snapshot yaklaşımı doğrudan uygulanmamalıdır. Broadcom’un ilgili problem giderme dokümanında, snapshot alınmadan önce VCHA yapılandırmasının kaldırılması gerektiği belirtilmektedir.
4. Yönetici erişimlerini doğrulayın
Aşağıdaki erişimlerin hazır olması gerekir:
- vCenter Appliance için
roothesabı - SSH erişimi
- Bash shell erişimi
- SSO Administrator hesabı
- Dosya yüklemek için SCP, SFTP veya desteklenen başka bir yöntem
SSO Administrator hesabı çoğu ortamda aşağıdaki biçimdedir:
administrator@vsphere.local
SSO domaini kurulum sırasında değiştirilmişse gerçek domain bilgisi şu komutla öğrenilebilir:
/usr/lib/vmware-vmafd/bin/vmafd-cli get-domain-name --server-name localhost
5. Bakım süresini planlayınız
Sertifika değişikliklerinden sonra VMware servislerinin yeniden başlatılması gerekebilir. Bu sırada:
- vSphere Client geçici olarak erişilemez olabilir.
- API bağlantıları kesilebilir.
- Yedekleme ve izleme sistemleri kısa süreli bağlantı hatası verebilir.
- SRM, vSphere Replication, Horizon, NSX veya üçüncü taraf çözümlerde güven ilişkisi yeniden doğrulanabilir.
- ESXi ve vCenter arasındaki sertifika ilişkileri yeniden kontrol edilmek zorunda kalabilir.
Bu nedenle işlemin üretim saatleri dışında ve geri dönüş planı hazırlanarak yapılması önerilir.
vCert aracının indirilmesi ve çalıştırılması
Broadcom KB 385107 üzerinde yayımlanan paket sürümü:
vCert-6.1.1-20260401.zip
Makalede belirtilen doğrulama değerleri şunlardır:
MD5:
27fbb7ec83dd315ea871cb9cd6d9646e
SHA256:
d26c11a23ff765b5568cfe39ea7c292a4a02b4f4430fbeccddc120605882b34f
Dosya güncellendiğinde hash değerleri de değişebileceğinden, kullanılan paketin değerleri her zaman Broadcom sayfasındaki güncel bilgilerle karşılaştırılmalıdır.
Dosya vCenter Server’a yüklendikten sonra SSH ile bağlanın ve Bash shell’e geçin:
shell
Paketi yüklediğiniz dizine giderek dosya bütünlüğünü kontrol edebilirsiniz:
sha256sum vCert-6.1.1-20260401.zip
Ardından paketi açın:
unzip -q vCert-6.1.1-20260401.zip
Oluşturulan dizine geçin:
cd vCert-6.1.1-20260401
Script’e çalıştırma yetkisi verin:
chmod +x vCert.py
Aracı başlatın:
./vCert.py
Yardım seçeneklerini görmek için:
./vCert.py --help
vCert aşağıdaki temel komut satırı parametrelerini destekler:
--version
--env
--run
--user
--password
Parolanın komut satırı parametresi olarak verilmesi yerine etkileşimli parola isteminin kullanılması, parolanın shell geçmişinde veya process listesinde görünmesini önlemek açısından daha güvenli bir çalışma yöntemidir.
vCert ilk çalıştırma uyarısı
vCert başlatıldığında aracın Broadcom Global Support yönlendirmesiyle kullanılması gerektiğini belirten bir uyarı görüntülenir. Yanlış işlemlerin sistemi kullanılamaz hale getirebileceği ve devam etmeden önce geçerli yedek alınması gerektiği belirtilir.
Devam etmek için aşağıdaki soruya y cevabı verilmesi gerekir:
Do you acknowledge the risks and wish to continue? [y/n]:
Bu uyarı formalite olarak görülmemelidir. Özellikle VMCA, STS, Solution User ve SSL Trust Anchor değişiklikleri vCenter’ın birden fazla temel bileşenini etkileyebilir.

vCert ana menüsü
Araç başlatıldığında aşağıdaki ana menü görüntülenir:
1. Check current certificate status
2. View certificate info
3. Manage certificates
4. Manage SSL trust anchors
5. Check configurations
6. Reset all certificates with VMCA-signed certificates
7. ESXi certificate operations
8. Restart services
9. Generate certificate report
E. Exit
Her seçenek farklı bir kullanım senaryosuna yöneliktir.
Seçenek 1: Check current certificate status
Bu seçenek sertifika değişikliği yapmadan mevcut sertifika yapısını analiz eder.
Kontrol edilen başlıca konular şunlardır:
- Sertifikanın süresi dolmuş mu?
- Sertifika 30 gün içerisinde sona erecek mi?
- Machine SSL sertifikasının SAN alanında PNID var mı?
- Key Usage değerleri destekleniyor mu?
- Sertifika tavsiye edilen Key Usage değerlerini kullanıyor mu?
- CA sertifikasında Subject Key Identifier bulunuyor mu?
- Aynı Subject bilgisine sahip birden fazla CA var mı?
- Sertifika gerçekten CA sertifikası mı?
- Sertifika zincirinde eksik CA var mı?
- VECS alias bilgisi geçerli mi?
- Desteklenmeyen imza algoritması kullanılıyor mu?
- Solution User sertifikası ile VMware Directory Service Principal kaydı eşleşiyor mu?
- CA path length kısıtlaması ihlal edilmiş mi?
İlk çalıştırmada doğrudan sertifika yenilemeye geçmek yerine öncelikle bu seçeneğin kullanılması daha sağlıklı bir yaklaşımdır.
Seçenek 2: View certificate info
Bu menü sertifika ayrıntılarını okunabilir biçimde görüntüler.
Görüntülenebilen sertifika türleri şunlardır:
1. Machine SSL certificate
2. Solution User certificates
3. CA certificates in VMware Directory
4. CA certificates in VECS
5. SMS certificates
6. Data Encipherment certificate
7. vCenter Extension thumbprints
8. STS signing certificates
9. VMCA certificate
10. Smart Card CA certificates
11. LDAPS Identity Source certificates
Bu bölüm özellikle sertifika değişikliğinden önce mevcut durumu belgelemek için kullanılabilir. Subject, Issuer, geçerlilik tarihleri, thumbprint ve sertifika zinciri bilgileri incelenebilir.
Smart Card sertifikalarını görüntüleyen 10 numaralı seçenek vCenter Server 9.0 ve sonraki sürümlerde desteklenmemektedir.
Seçenek 3: Manage certificates
Bu bölüm vCenter sertifikalarında değişiklik yapılmasını sağlar.
Alt menüde aşağıdaki işlemler bulunur:
1. Machine SSL certificate
2. Solution User certificates
3. CA certificates in VMware Directory
4. CA certificates in VECS Directory
5. SMS certificates
6. Data Encipherment certificate
7. vCenter Extension thumbprints
8. STS signing certificates
9. VMCA certificate
10. Smart Card CA certificates
11. LDAPS Identity Source certificates
12. Clear expired certificates in BACKUP_STORE
13. Clear TRUSTED_ROOT_CRLS store
14. Clear Machine SSL CSR
Machine SSL sertifikasını yönetme
Bu seçenek Machine SSL sertifikasını değiştirir ve mevcut vCenter düğümündeki SSL Trust Anchor kayıtlarını günceller.
İki temel yöntem kullanılabilir:
- VMCA tarafından imzalanmış Machine SSL sertifikası
- Kurumsal veya harici CA tarafından imzalanmış Custom Certificate
Custom CA kullanılacaksa vCert üzerinden private key ve CSR oluşturulabilir veya daha önce hazırlanmış sertifika ile private key içe aktarılabilir.
Solution User sertifikalarını yönetme
Solution User sertifikaları değiştirildiğinde vCert:
- VECS içerisindeki ilgili sertifikaları değiştirir.
- VMware Directory içerisindeki Service Principal kayıtlarını günceller.
- İlgili vCenter extension thumbprint değerlerini günceller.
- Sertifika ve servis kayıtları arasındaki tutarlılığı kontrol eder.
STS Signing sertifikasını yönetme
STS yenileme işleminde mevcut STS sertifikaları yedeklenir ve VMware Directory içerisindeki TenantCredential kayıtları yeniden oluşturulur.
Bu işlem kullanıcı tanımlı Scheduled Task görevlerinde saklanan kimlik doğrulama token’larını geçersiz hale getirebilir. Bu nedenle STS değişikliği sonrasında zamanlanmış görevler ayrıca kontrol edilmelidir.
VMCA sertifikasını yönetme
VMCA sertifikasının değiştirilmesi en kapsamlı işlemlerden biridir. VMCA değiştirildiğinde Machine SSL, Solution User ve STS sertifikaları da yeniden üretilebilir.
Bu seçenek yalnızca ilgili sertifikanın neden değiştirildiği ve ortamın mevcut sertifika mimarisi biliniyorsa kullanılmalıdır.
Seçenek 4: Manage SSL trust anchors
SSL Trust Anchor, vCenter Lookup Service kayıtlarının hangi sertifikaya güveneceğini belirleyen bilgidir.
Bu bölümde iki temel işlem bulunur:
1. Check SSL Trust Anchors
2. Update SSL Trust Anchors
Kontrol işlemi:
- SSO domainindeki vCenter düğümlerinin Machine SSL sertifikalarını
- Lookup Service kayıtlarını
- Service ID bilgilerini
- Endpoint URI bilgilerini
- Her servisin kullandığı güven sertifikasını
karşılaştırır.
Machine SSL sertifikası değiştirildiği halde Lookup Service eski thumbprint veya sertifika bilgisini kullanıyorsa servisler yeni sertifikaya güvenmeyebilir. Bu durumda trust anchor kayıtlarının güncellenmesi gerekebilir.
Seçenek 5: Check configurations
Bu menü üç önemli yapılandırma kontrolü gerçekleştirir:
1. Check for SSL Interception
2. Check STS server certificate and configuration
3. Check VECS store status and permissions
SSL Interception kontrolü
vCert, hostupdate.vmware.com adresine 443 numaralı porttan bağlanarak sunulan sertifikanın issuer bilgisini kontrol eder.
Kurumsal firewall veya proxy üzerinde SSL Inspection uygulanıyorsa bağlantı sırasında Broadcom’un gerçek sertifikası yerine kurumun SSL Inspection CA sertifikası görülebilir. Böyle bir durumda ilgili CA sertifikasının vCenter tarafından güvenilir hale getirilmesi gerekebilir.
STS yapılandırma kontrolü
Araç, STS servisinin doğru sertifika deposunu kullanıp kullanmadığını kontrol eder. Eski sürümlerden yükseltilmiş sistemlerde STS eski STS_INTERNAL_SSL_CERT deposuna bağlı kalmış olabilir.
Enhanced Linked Mode ortamında vmwSTSConnectionStrings değerinin doğru VMware Directory örneğini işaret edip etmediği de kontrol edilir.
VECS store ve izin kontrolü
Bu seçenek varsayılan VECS depolarının:
- Mevcut olup olmadığını
- Doğru izinlere sahip olup olmadığını
- Gerekli permission template değerlerinin bulunup bulunmadığını
kontrol eder.
Önemli sürüm uyarısı
Broadcom, vCert 6.1.1 sürümünün vCenter 8.0 U1a ile 8.0 U1d arasındaki sürümlerde VECS permission mismatch problemini düzeltmek için kullanılmaması gerektiğini belirtmektedir. Bu sınırlamanın sonraki bir vCert sürümünde giderilmesi planlanmaktadır.
Seçenek 6: Reset all certificates with VMCA-signed certificates
Bu seçenek aşağıdaki sertifikaları VMCA tarafından imzalanmış yeni sertifikalarla değiştirir:
Machine SSL
Solution Users
STS Signing
Ayrıca Machine SSL Trust Anchor ve vCenter extension thumbprint kayıtları da güncellenir.
Bu işlem özellikle birden fazla sertifikanın aynı anda süresinin dolduğu ve ortamın varsayılan VMCA sertifika mimarisini kullandığı durumlarda değerlendirilebilir.
Ancak kurumsal CA tarafından imzalanmış özel sertifikalar kullanılan bir ortamda bu seçeneğin kullanılması, özel sertifikaların VMCA imzalı sertifikalarla değiştirilmesine neden olabilir. Bu nedenle işlem öncesinde ortamın VMCA mı yoksa Custom CA mı kullandığı kesin olarak belirlenmelidir.
Seçenek 7: ESXi certificate operations
Bu bölüm ESXi sunucularının sertifika durumunu kontrol eder.
Alt menü:
1. Check ESXi/vCenter certificate trust
2. Check ESXi certificate against vCenter database
3. Replace ESXi certificate
Araç şu kontrolleri gerçekleştirebilir:
- ESXi reverse proxy sertifikasının issuer’ı vCenter tarafından güveniliyor mu?
- ESXi sertifikası ile vCenter veritabanındaki sertifika bilgisi eşleşiyor mu?
- IOFilter ve VASA sertifika güven ilişkileri doğru mu?
- vCenter Machine SSL sertifikasının issuer bilgisi ESXi üzerinde güvenilir mi?
ESXi sertifikası değiştirilirse aşağıdaki dosyalar güncellenebilir:
/etc/vmware/ssl/rui.crt
/etc/vmware/ssl/rui.key
/etc/vmware/ssl/castore.pem
Yeni sertifikanın uygulanması için ESXi servislerinin yeniden başlatılması gerekir. Ayrıca vCenter veritabanındaki sertifika bilgisinin yenilenmesi amacıyla sunucunun vCenter’dan Disconnect ve ardından Reconnect edilmesi gerekebilir.
Seçenek 8: Restart services
Bu menü VMware servislerinin yeniden başlatılmasını sağlar:
1. Restart all VMware services
2. Restart specific VMware service
Bütün servisleri komut satırından yeniden başlatmak için de aşağıdaki komutlar kullanılabilir:
service-control --stop --all
service-control --start --all
Servis durumlarını kontrol etmek için:
service-control --status --all
Sertifika değişikliğinden sonra özellikle aşağıdaki servisler kontrol edilmelidir:
vpxd
vpxd-svcs
vsphere-ui
vmware-stsd
vmware-vapi-endpoint
vmware-sps
vmware-eam
Sertifikaların yenilenmiş olması servislerin mutlaka doğru başladığı anlamına gelmez. Bu nedenle servis durumu işlem sonrasındaki en önemli kontrollerden biridir.
Seçenek 9: Generate certificate report
Bu seçenek kapsamlı bir sertifika raporu oluşturur.
Raporda aşağıdaki bilgiler bulunur:
- VECS içerisindeki bütün kayıtlar
- VMware Directory içerisindeki CA sertifikaları
- Solution User ve Service Principal kayıtları
- STS Signing sertifikaları
- Dosya sistemindeki servis sertifikaları
- Smart Card Authentication CA sertifikaları
- LDAPS Identity Source sertifikaları
- Lookup Service SSL Trust Anchor kayıtları
Rapor ekrana yazdırılır ve aşağıdaki dizine kaydedilir:
/var/log/vmware/vCert
Sorun giderme öncesinde ve sonrasında ayrı raporlar alınarak sertifika yapısındaki değişiklikler karşılaştırılabilir.
vCert log ve çalışma dosyaları
vCert çalıştırıldığında ana log dosyası şu dizinde oluşturulur:
/var/log/vmware/vCert/vCert.log
Bu log dosyası vCenter Support Bundle içerisine de dahil edilir.
Araç ayrıca aşağıdaki dizin altında tarih bazlı bir çalışma klasörü oluşturur:
/root/vCert-master/YYYYMMDD
Bu dizinde staging, backup ve işlem sırasında kullanılan diğer geçici dosyalar bulunabilir. Sertifika yedekleri korunurken geçici dosyaların önemli bir bölümü vCert kapatıldığında temizlenir.
Bir hata oluşması durumunda ilk incelenmesi gereken dosya:
/var/log/vmware/vCert/vCert.log
Servis başlatma problemlerinde ayrıca şu loglar incelenebilir:
/var/log/vmware/vmon/vmon.log
/var/log/vmware/vmon/service-control.log
/var/log/vmware/vpxd/vpxd.log
/var/log/vmware/sso/vmware-identity-sts.log
/var/log/vmware/vmcad/certificate-manager.log
Önerilen güvenli çalışma sırası
vCert ile yapılacak işlemlerde aşağıdaki sıra izlenebilir.
Adım 1: Ortamın sertifika mimarisini belirleyin
Öncelikle aşağıdaki sorular cevaplanmalıdır:
- Machine SSL sertifikası VMCA tarafından mı imzalanmış?
- Kurumsal CA kullanılıyor mu?
- VMCA Root sertifikasının süresi dolmak üzere mi?
- Yalnızca Machine SSL mi etkilenmiş?
- Solution User sertifikaları da süresi dolmuş mu?
- STS sertifikası geçerli mi?
- Ortam Enhanced Linked Mode kullanıyor mu?
- vCenter HA yapılandırması bulunuyor mu?
- Sertifikaya bağlı üçüncü taraf ürünler var mı?
Bu bilgiler belirlenmeden “Reset All Certificates” seçeneğine geçilmemelidir.
Adım 2: Yedek ve geri dönüş noktasını oluşturun
Standalone vCenter için kapalı snapshot veya VAMI backup oluşturun.
Enhanced Linked Mode ortamında bütün düğümlerin aynı anda kapatıldığından ve snapshot’ların tutarlı biçimde alındığından emin olun.
Adım 3: Sertifika raporu alın
vCert ana menüsünden:
9. Generate certificate report
seçeneğini çalıştırın.
Bu rapor işlem öncesi mevcut durumun kayıt altına alınmasını sağlar.
Adım 4: Sertifika durumunu kontrol edin
Ana menüden:
1. Check current certificate status
seçeneğini çalıştırın.
Raporda yalnızca sertifika tarihlerini değil aşağıdaki uyarıları da inceleyin:
- PNID/SAN uyumsuzluğu
- Eksik CA chain
- Desteklenmeyen algoritma
- Solution User ve Service Principal uyuşmazlığı
- Trust Anchor problemi
- VECS alias problemi
Adım 5: Yapılandırma kontrollerini çalıştırın
Ana menüden:
5. Check configurations
seçeneğine girerek özellikle STS ve VECS kontrollerini gerçekleştirin.
Bu aşamada bulunan bir izin veya yapılandırma problemi sertifika yenileme işleminden önce çözülmelidir.
Adım 6: Doğru yenileme senaryosunu seçin
Yalnızca Machine SSL etkilenmişse
3. Manage certificates
1. Machine SSL certificate
yolu kullanılabilir.
Ortam VMCA kullanıyorsa VMCA-signed sertifika; kurumsal sertifika kullanıyorsa Custom CA-signed sertifika seçilmelidir.
Solution User sertifikaları etkilenmişse
3. Manage certificates
2. Solution User certificates
yolu kullanılabilir.
STS sertifikası etkilenmişse
3. Manage certificates
8. STS signing certificates
yolu kullanılabilir.
Birden fazla VMCA imzalı sertifika süresi dolmuşsa
6. Reset all certificates with VMCA-signed certificates
seçeneği değerlendirilebilir.
VMCA Root sertifikası sona ermek üzereyse
3. Manage certificates
9. VMCA certificate
yolu kullanılmalıdır.
VMCA Root sertifikasını yenileme örneği
VMCA Root sertifikasının süresi dolmak üzereyse ve harici bir CA kullanılmıyorsa Broadcom’un ilgili prosedürü aşağıdaki akışı önerir:
- vCenter için offline snapshot veya geçerli yedek oluşturun.
- SSH üzerinden vCenter Server’a bağlanın.
- vCert’i çalıştırın.
- Ana menüden
3. Manage certificatesseçeneğini açın. 9. VMCA certificateseçeneğine girin.- Self-signed VMCA sertifikası oluşturup bütün sertifikaları yeniden üretme seçeneğini seçin.
- SSO Administrator hesabıyla kimlik doğrulaması yapın.
- Ortama uygun olduğu doğrulanmış varsayılan sertifika değerlerini kabul edin.
- STS Signing sertifikasının da değiştirilmesi gerektiği senaryoda ilgili soruya
Ycevabı verin. - VMware servislerini yeniden başlatma sorusuna
Ycevabı verin. - vSphere Client ve VAMI erişimini test edin.
- Certificate Status alarmlarını ve servis durumlarını kontrol edin.
VMCA Root sertifikasının yenilenmesi Machine SSL, Solution User ve STS sertifikalarını etkileyebileceğinden bu işlem bakım penceresinde gerçekleştirilmelidir.
Custom CA sertifikası kullanırken sertifika zinciri
Kurumsal Microsoft CA veya başka bir sertifika otoritesi kullanılıyorsa sertifika zincirinin doğru hazırlanması gerekir.
vCert veya vSphere Client ile yapılan işlemlerde genel olarak iki dosya hazırlanır.
Machine SSL sertifika dosyası
Bu dosyada yalnızca Machine SSL leaf sertifikası bulunur:
-----BEGIN CERTIFICATE-----
Machine SSL Certificate
-----END CERTIFICATE-----
CA chain dosyası
Bu dosyada Intermediate CA sertifikaları ve en sonda Root CA sertifikası bulunur:
-----BEGIN CERTIFICATE-----
Intermediate CA Certificate
-----END CERTIFICATE-----
-----BEGIN CERTIFICATE-----
Root CA Certificate
-----END CERTIFICATE-----
Birden fazla intermediate veya issuer sertifikası varsa bunlar sertifika otoritesinden alınan sıralamaya göre eklenmelidir:
Issuer CA
Intermediate CA
Root CA
Eksik veya yanlış sıralanmış sertifika zinciri aşağıdaki sorunlara neden olabilir:
- Sertifikanın doğrulanamaması
certificate verify failedhatası- vCenter servislerinin başlamaması
- Tarayıcı güven uyarısı
- ESXi ve vCenter güven ilişkisinin bozulması
- Sertifika import işleminin başarısız olması
vCert, sunulan sertifikada tam CA zinciri bulunmadığını algılarsa tam zincirin bulunduğu ayrı bir dosya isteyebilir.
Private key’in kullanılan CSR ile oluşturulan anahtar olduğundan da emin olunmalıdır. Başka bir CSR’a ait private key kullanılırsa sertifika ve anahtar eşleşmeyecektir.
İşlem sonrasında yapılması gereken kontroller
Sertifika durumunu tekrar kontrol edin
vCert ana menüsünden tekrar:
1. Check current certificate status
seçeneğini çalıştırın.
Aşağıdakileri doğrulayın:
- Süresi dolmuş sertifika kalmamış
- Yeni sertifikaların geçerlilik tarihleri doğru
- Machine SSL SAN alanında PNID bulunuyor
- Sertifika zinciri tamamlanmış
- Solution User sertifikaları VMware Directory kayıtlarıyla eşleşiyor
- Desteklenmeyen imza algoritması bulunmuyor
Yeni sertifika raporu oluşturun
9. Generate certificate report
seçeneğini çalıştırarak işlem sonrası raporu kaydedin.
İşlem öncesi ve sonrası raporların saklanması ileride oluşabilecek sorunların araştırılmasını kolaylaştırır.
VMware servislerini kontrol edin
service-control --status --all
Başlamayan servis varsa doğrudan tekrar tekrar start komutu vermek yerine ilgili servis logu incelenmelidir.
Tüm servisleri yeniden başlatmak gerektiğinde:
service-control --stop --all
service-control --start --all
kullanılabilir.
vSphere Client ve VAMI erişimini test edin
Aşağıdaki adresleri kontrol edin:
https://vcenter-fqdn/ui
https://vcenter-fqdn:5480
Kontrol sırasında:
- Tarayıcıya sunulan sertifikanın yeni sertifika olduğu
- Sertifika Subject ve SAN değerlerinin doğru olduğu
- Sertifika zincirinin tamamlandığı
- SSO girişinin çalıştığı
- VAMI erişiminin sağlandığı doğrulanmalıdır.
ESXi bağlantılarını kontrol edin
ESXi sunucularının vCenter içerisindeki durumunu inceleyin.
Aşağıdaki durumlar görülmemelidir:
Disconnected
Not Responding
Certificate Error
Cannot verify SSL thumbprint
Gerekli görülürse vCert içerisindeki ESXi certificate operations menüsü kullanılarak ESXi sertifikaları ve vCenter veritabanındaki thumbprint bilgileri karşılaştırılabilir.
Entegre ürünleri test edin
Sertifika değişikliği sonrasında aşağıdaki ürünler kullanılıyorsa bağlantıları kontrol edilmelidir:
- VMware NSX
- VMware Aria ürünleri
- Site Recovery Manager
- vSphere Replication
- Horizon
- Veeam Backup & Replication
- Commvault
- VASA Provider
- Donanım izleme eklentileri
- Üçüncü taraf backup ve monitoring çözümleri
Bu ürünlerden bazıları eski vCenter thumbprint değerini kendi veritabanlarında tutabilir. Sertifika değiştikten sonra güven ilişkisinin yeniden onaylanması gerekebilir.
Sürüme bağlı önemli noktalar
vCenter 8.0 U3h ve sonrası
Broadcom’a göre vCenter 8.0 U3h ile birlikte VMCA tarafından oluşturulan Machine SSL sertifikaları, sertifika modu vmca olarak yapılandırılmışsa sona ermeden beş gün önce otomatik olarak yenilenebilir.
Benzer otomatik yenileme özelliği VMCA tarafından imzalanan ESXi sertifikaları için de geçerlidir.
Bu özellik aşağıdaki durumlarda geçerli olmayabilir:
- Custom CA sertifikaları kullanılıyorsa
- Sertifika modu
vmcadeğilse - Sertifika veya güven zincirinde yapılandırma problemi varsa
- VMCA Root sertifikasının kendisi geçersiz veya süresi dolmuşsa
Dolayısıyla otomatik yenileme özelliği düzenli sertifika kontrolü ihtiyacını tamamen ortadan kaldırmaz.
vCenter Server 9.0
Smart Card CA sertifikalarını yöneten ilgili vCert seçeneği vCenter Server 9.0 ve sonrasında desteklenmemektedir. Ayrıca vCenter 9.0’da bazı extension kayıtlarında SHA1 thumbprint bilgisinin yanında sertifikanın PEM içeriği de vCenter veritabanında tutulmaktadır.
vCenter Server sertifika yönetimi, yalnızca süresi dolan HTTPS sertifikasını yenilemekten çok daha kapsamlıdır. Machine SSL, Solution User, STS, VMCA, VECS, VMware Directory, SSL Trust Anchor ve extension thumbprint kayıtları birbiriyle bağlantılıdır.
vCert bu karmaşık yapıyı tek bir menü üzerinden analiz etmeyi ve yönetmeyi kolaylaştırır. Araç sayesinde:
- Sertifikaların sona erme tarihleri kontrol edilebilir.
- PNID ve SAN uyumluluğu doğrulanabilir.
- Eksik sertifika zincirleri tespit edilebilir.
- Solution User ve Service Principal eşleşmeleri kontrol edilebilir.
- Machine SSL ve STS sertifikaları yenilenebilir.
- VMCA Root sertifikası değiştirilebilir.
- SSL Trust Anchor ve extension thumbprint kayıtları güncellenebilir.
- VECS store ve izin problemleri tespit edilebilir.
- ESXi sertifika güven ilişkileri denetlenebilir.
- Ayrıntılı sertifika raporları oluşturulabilir.
Bununla birlikte vCert, üretim ortamında dikkatsizce çalıştırılabilecek sıradan bir bakım scripti değildir. İşleme başlamadan önce sertifika mimarisi belirlenmeli, geçerli bir yedek oluşturulmalı, Enhanced Linked Mode düğümleri birlikte değerlendirilmelidir. İlk adım her zaman mevcut sertifikaların kontrol edilmesi ve raporlanması olmalı; yalnızca gerçek probleme uygun sertifika yenileme seçeneği kullanılmalıdır.
Doğru planlama, tutarlı bir geri dönüş noktası ve işlem sonrası servis kontrolleriyle vCert, süresi dolmuş veya hatalı yapılandırılmış vCenter sertifikalarının güvenli şekilde yönetilmesinde son derece güçlü bir araçtır.




Download Link : https://knowledge.broadcom.com/external/article/385107
