Erreur: Unable to push CA certificates and CRLs to host xxx

Logs coté vCenter:

/var/log/vmware/vpxd.log

2019-09-03T11:40:08.260+02:00 error vpxd[07087] [Originator@6876 sub=certmgrLogger opID=lud0ste7-1234567-auto-uuvt-h5:12345678-91] Unable to push root certificate and CRLs to [vim.HostSystem:host-123456,esxi671.ludo.local]: N3Vim5Fault15HostConfigFault9ExceptionE(Fault cause: vim.fault.HostConfigFault --> ) 
2019-09-03T11:40:08.289+02:00 info vpxd[07486] [Originator@6876 sub=vpxLro opID=vb-1486584:auto-name-563647:01-43] [VpxLRO] -- BEGIN lro-123456789 -- ResourceModel -- cis.data.provider.ResourceModel.query -- 000000000-0000-0000-00 00-000000000000(00000000-0000-0000-0000-000000000000)

Logs coté ESXi:

/var/log/hostd.log

2019-09-03T09:40:08.247Z error hostd[2100576] [Originator@6876 sub=Vimsvc.CertMgr opID=lud0ste7-1234567-auto-uuvt-h5:1234578-91-8783 user=vpxuser:VSPHERE.LOCAL\Administrator] Certificate is not a valid CA certificate:

Solutions:

- L'erreur peut venir d'un probleme de synchonisation (NTP)

- L'ESXi est en mode maintenance: https://kb.vmware.com/s/article/68045

- Suite a un changement sur vCenter 6.7 Update 3: https://docs.vmware.com/fr/VMware-vSphere/6.7/rn/vsphere-vcenter-server-67u3-release-notes.html

Le magasin d'approbations ESXi contient une liste de certificats d'autorité de certification (CA) qui sont utilisés pour construire la chaîne d'approbation lorsqu'un hôte ESXi est le client dans une communication de canal TLS. Le bit CA doit être défini sur les certificats du magasin d'approbations : Contraintes de base X509v3 : CA: TRUE. Si ce bit n'est pas défini sur un certificat transmis au magasin d'approbation (par exemple, un certificat auto-signé), le certificat est rejeté. Par conséquent, vous risquez de ne pas pouvoir ajouter un hôte ESXi au système vCenter Server.

Ce problème est résolu dans cette version. Le correctif ajoute l'option avancée Config.HostAgent.ssl.keyStore.allowSelfSigned. Si vous êtes déjà confronté à ce problème, définissez cette option sur TRUE pour ajouter un certificat de serveur auto-signé au magasin d'approbations ESXi.

Redemarrer les services:

services.sh restart

Comments est propulsé par CComment