VMware Dienste und der Heartbleed Bug

Heartbleed.svgZahlreiche vSphere Dienste verwenden für die gesicherte Kommunikation OpenSSL Zertifikate. Einige produkte sind vom kürzlich veröffentlichten Heartbleed Bug betroffen. Unter KB 2076225 werden alle derzeit betroffenen Produkte aufgelistet.

Betroffen sind alle neueren Produkte, da für deren Zertifikate die OpenSSL Library ab Version 1.0.1 verwendet wurde. Ältere Zertifikate, die mit Version 0.9.8 erzeugt wurden sind nicht betroffen.

ESXi 5.5 Host Zertifikat aktualisieren

Passende Zertifikate – auch wenn sie nicht vetrauenswürdig signiert sind – sind wichtig für die Kommunikation der Hosts innerhalb des HA-Clusters. Ich schrieb vor einiger Zeit über das Verfahren zur Generierung von selbst signierten Host Zertifikaten bei ESXi. Das Prinzip ist gleich, man muss unter ESXi 5.5 jedoch einen Zusatzschritt einbauen.

Generate-Certificates

  • SSH auf Host aktivieren
  • SSH Client (Putty oder ähnlich) auf Host verbinden
  • Skript ausführen (vgl. unten)

Bei Ausführung des Skriptes erhält man eine Warnung wie unten dargestellt und die Zertifikate werden nicht erneuert. Im beobachteten Fall lautete es weiterhin auf localhost.localdomain.

# /sbin/generate-certificates
WARNING: can't open config file: /etc/pki/tls/openssl.cnf

„ESXi 5.5 Host Zertifikat aktualisieren“ weiterlesen

vSphere5 – ESXi Host SSL Fingerprint

Im vCenter sah ich einen der ESXi Hosts im Status “disconnected”, jedoch alle VMs dieses Hosts waren erreichbar. Der Grund war schnell gefunden. Ich hatte vergessen, die 64 Tage Demolizenz auf die echte Lizenz umzustellen.

Administration > vCenter Settings > Licensing

HA Fehler

Nach der Umstellung versuchte ich den Host neu zu verbinden und erhielt diese Fehlermeldung.

vSphere HA Cannot be configured on this host because its SSL thumbprint has not been verified.

Etwas mit den SSL Einstellungen des Hosts schien nicht in Ordnung zu sein.

Bei allen Hosts in der Liste muss der Haken “Verified” gesetzt sein. Danach den Host trennen (nicht entfernen!) und wieder verbinden.

Die Echtheit des Fingerprints kann direkt überprüft werden, indem man ihn mit dem SSL Fingerprint am DCUI (ESX Konsole) vergleicht.

vSphere 5.1

Ab vCenter Version 5.1 gibt es keine SSL Settings mehr in den vCenter Einstellungen.

Links

the Hyperadvisor – vSphere HA cannot be configured on the host because of its SSL

vmware KB 2006210