VCSA’da BACKUP_STORES Sertifikalarını Temizleme

Merhaba,
Bu makalede, VCSA sertifika temizleme sürecini ele alacağım. vCenter Server Appliance (VCSA) üzerindeki BACKUP_STORE ve BACKUP_STORE_H5C alanlarında süresi dolmuş sertifikaların nasıl otomatik olarak temizleneceğini adım adım anlatacağım. Bu işlem, vSphere Client’ta sıkça karşılaşılan sertifika durumu alarmlarının çözülmesine yardımcı olacaktır.

Önemli Notlar:

• Yedekleme: İşlemlere başlamadan önce mutlaka vCenter sunucunuzda bir snapshot veya tam yedek alın. Bu adım, olası hatalar ve beklenmedik sorunlar için verilerinizi korur.
• Zorunlu Önlem: Eğer tek bir VCenter üzerinde harici veya gömülü PSC ile çalışıyorsanız, snapshot’lar açık durumda alınabilir.
• Enhanced Linked Mode (ELM) Kullanımı: Federasyonlu bir ortamda (ELM) çalışıyorsanız, tüm Platform Services Controller’ların (PSC) kapalı olduğundan emin olun. Her birinin snapshot’ını alın. Snapshot sırasında kısmi replikasyonu önlemek için PSC’ler kapalı olmalıdır. İşlem tamamlandıktan sonra tüm PSC’leri açın. Ayrıca, vCenter sistemlerinin de snapshot’larını alın.
  Snapshot geri yükleme (hasardan kurtulma durumunda) tüm düğümlerde aynı kapalı durumdaki snapshot’a yapılmalıdır. Bu işlem, replikasyon verilerinin tutarlılığını korumak için gereklidir.
• Önemli Not: Bu komut dosyası yalnızca BACKUP_STORE’larında süresi dolmuş veya dolmak üzere olan sertifikalara sahip harici PSC ve VCSA’larda çalıştırılmalıdır.
• Bu makalede, sisteminizin güvenliğini ve performansını optimize etmek için VCSA üzerindeki sertifika temizleme sürecini detaylandıracağım.

VCSA’da Sertifika Durumu Alarmının Nedenleri

VCSA’da sertifikalar değiştirildiğinde, sistem BACKUP_STORE ve BACKUP_STORE_H5C adıyla iki yedekleme deposu oluşturur. Bu işlem sırasında, eski sertifikalar gerektiğinde geri almayı sağlamak için bu depolara eklenir. Ancak, bu işlem sırasında dikkat edilmesi gereken adımlar vardır. Ancak, bu depolardaki sertifikalardan biri süresi dolduğunda veya yakında dolacaksa, vSphere Client otomatik olarak bir Sertifika Durumu Alarmı gösterir.

Bu yapı, eski sertifikaların yönetiminde esneklik sağlasa da, süresi dolmuş sertifikaların temizlenmemesi durumunda kullanıcıların sürekli olarak alarm bildirimleri almasına neden olabilir.
Bu durum, VCSA kullanıcılarının sık karşılaştığı ve sistemdeki sertifika yönetimini etkileyen önemli bir sorundur.

Uygulama ve Çözüm Süreci

Snapshot Alınması

Etki bölümünde önerildiği gibi gerekli olan snapshot’ların veya çevrimdışı (memorysiz) snapshot’ların alındığından emin olun.

Sertifikaların Kontrol Edilmesi

Sertifikaları aşağıdaki komutla kontrol edin:

for i in $(/usr/lib/vmware-vmafd/bin/vecs-cli store list); do echo STORE $i; /usr/lib/vmware-vmafd/bin/vecs-cli entry list --store $i --text | egrep "Alias|Not After"; done

Süresi Dolmuş Sertifikaların Temizlenmesi

BACKUP_STORE veya BACKUP_STORE_H5C içinde süresi dolmuş sertifikalar varsa, clean_backup_stores.sh komut dosyasını çalıştırın.

Komut Dosyasının Yüklenmesi

Ekli komut dosyasını VCSA’ya veya harici PSC’ye /tmp/ dizinine yükleyin.

Komut Dosyasının Çalıştırılabilir Hale Getirilmesi

chmod +x clean_backup_stores.sh

Komut Dosyasının Çalıştırılması

./clean_backup_stores.sh

Snapshot Onayı

Komut dosyası, BACKUP_STORE ve BACKUP_STORE_H5C’de süresi dolmuş sertifikaları doğrular ve onay ister:

Have you taken powered off snapshots of all PSC's and VCSA's within the SSO domain(Y|y|N|n)

Hata Durumunda

Komut dosyası şu hatayla başarısız olursa:

-bash: ./clean_backup_stores.sh: /bin/bash^M: bad interpreter: No such file or directory.

Bu hatayı çözmek için şu komutu çalıştırın:

sed -i -e 's/\r$//' clean_backup_stores.sh

Hizmetlerin Yeniden Başlatılması

service-control --stop --all && service-control --start --all

Sertifika Alarmlarının Onaylanması

Sertifika ile ilgili alarmı Kabul Et ve Yeşile Sıfırla işlemlerini yapın.

Trusted Roots Deposu

Eğer Trusted Roots deposunda süresi dolmuş sertifikalar varsa, Broadcom Bilgi Bankası Makalesi 32628 adresine başvurun.

Not: Komut dosyasını VCSA’ya yüklemek için WinSCP kullanabilirsiniz. Ek bilgi için Broadcom Bilgi Bankası Makalesi 326317 adresine bakın.

Sonuç:VCSA’da BACKUP_STORES Sertifikalarını Temizleme

Bu makalede, VCSA üzerindeki BACKUP_STORE ve BACKUP_STORE_H5C alanlarında süresi dolmuş veya dolmak üzere olan sertifikaların nasıl temizleneceğini adım adım ele aldık. Uygulama sürecinde, öncelikle snapshotların alınması ve ayrıca replikasyon verilerinin tutarlılığının sağlanması gibi önemli önlemleri vurguladık. Bu adımları dikkatle takip etmek, sonuç olarak sistemin kesintisiz ve güvenli çalışmasını garanti altına alır.

Son olarak, unutmayın, herhangi bir sertifika alarmını hızlı ve doğru bir şekilde çözmek, vCenter altyapınızın stabilitesini ve güvenliğini sürdürmek için kritik önem taşır. Süreci tamamladıktan sonra, sistemdeki tüm alarm ve uyarıların başarıyla kaldırıldığını kontrol ettiğinizden emin olun.

Ekler

Destekleyici Link

• WinSCP Kullanımı: VCSA’ya dosya yükleme işlemleri hakkında bilgi almak için WinSCP Kılavuzu sayfasını ziyaret edin.
• Yeniden Sertifika Oluşturulması: vSphere 6.x, 7.x ve 8.0 Sertifikalarının VMCA Kullanılarak Yeniden Oluşturulması yazımı okuyabilirsiniz.

Umarım bu rehber, VCSA’daki BACKUP_STORE ve BACKUP_STORE_H5C Sertifika Alarmlarını Kaldırma konusunda sizlere yardımcı olmuştur. Bir sonraki makalede görüşmek üzere!

Faydalı olması dileğiyle.