SSL-Zertifikat von Netapp Data Fabric Manager und Host Packages erneuern

Wer als Netapp FAS-Series sowohl als primäres als auch sekundäres Storage einsetzt, kommt früher in Berührung mit dem Data Fabric Manager (DFM) und OnCommand Unified Manager (OCUM). In diesem Fall wird das Softwareprodukt zur Verwaltung von Snapvaultbeziehungen (SV) von NFS-Volumens zwischen produktiv und Backupstorage genutzt. Bei den NFS-Volumens handelt es sich um Datenspeicher von einer Servervirtualisierung unter VMWare. Damit der OCUM Snapshots von der VMs erstellen kann, wird auf dem VMWare vCenter noch ein Plugin (Netapp Host Package) installiert um die Kommuniktation mit dem DFM herzustellen.

Der OCUM löst an Hand eines Datasets einen Snapshot für die VMs aus, welcher auf dem produktiven Storage angelegt wird. Sobald dieser Vorgang abgeschlossen ist, wird per SV die geänderten Datenblöcke auf das Backupstorage übertragen und ebenfalls ein Snapshot angelegt. Dieser komplette Vorgang basiert auf verschlüsselter Kommunikation mit selbersignierten SSL-Zertifiakte.

Von Heute auf Morgen funktioniert der oben beschriebene Sicherungsvorgang nicht mehr. In der OCUM – Weboberfläche steht nur der Hinweis „Management Station: Server Certificate expired“. Genauere Informationen stehen nicht zur Verfügung. Ich arbeite bereits seit einigen Jahren mit Netapp und DFM und somit war mir fast klar, dass es um den DFM geht und nicht um OCUM. Für einen Neueinsteiger schwierig zu analysieren.

Gerüft werden kann das Verfallsdatum des DFM-Server mit diesem Befehl:

dfm ssl service detail

Interessant ist von der obigen Ausgabe folgende Zeilen:

Validity
    Not Before: Jun 12 07:01:37 2013 GMT
    Not After : Jun 11 07:01:37 2015 GMT

Das Zertifikat ist in diesem Fall abgelaufen. Um dieses mit einem selbstsignierten Zertifiakt zu erneuern, ist dieser Befehl notwendig:

dfm ssl service setup -f

An Anweisungen des Assistenten einfach folgen und die notwendigen Eingaben tätigen.

Nach Abschluss der Generierung muss der DFM SSL Service neugestartet werden:

dfm ssl service reload

Jetzt nochmals den ersten Befehl eingeben und die Zeile „Validity“ kontrollieren:

dfm ssl service detail

Validity
    Not Before: Jun 12 07:01:37 2015 GMT
    Not After : Jun 11 07:01:37 2017 GMT

In der (Problem)beschreibung habe ich bereits erwähnt, dass auf dem vCenter ein Plugin läuft. Zum Abschluss die Kommunikationsstatus zwischen DFM und vCenter prüfen:

C:\dfm hs list
Id         Host Name                                Host Address         Version    Status                 Timezone
---------- ---------------------------------------- -------------------- ---------- ---------------------- ----------------------------------------
630        vcenter0001                                10.xxx.xxx.xxx       1.3.0.1535 up                     GMT-2:00(2 hours East of UTC).
1648       vcenter0002                                10.xxx.xxx.xxx       1.3.0.1535 up                     GMT-2:00(2 hours East of UTC).

Steht in der Spalte „Status“ jeweils „up“ drin, funktioniert die Kommunikation wieder.

In meinen Fall wurde weiterhin „down“ angezeigt. Wie bereits weiter oben beschrieben, läuft Netapp Host Package auf dem vCenter und nutzt ebenfalls ein SSL-Zertifikat.
Die Prüfung muss auf dem vCenter erfolgen. Ich habe mich per Remotedesktopverbindung verbunden.
Im Startmenü gibt es unter „Alle Programme -> Netapp“ eine Verknüpfung „OnCommand Host Service PowerShell“. Die Powershell per Klick starten und folgenden Befehl eingeben:

Get-HSConfiguration -certificateinfo

Es werden alls Informationen bezüglich des SSL-Zertifiaktes ausgegeben:

CertificateOwner : Host Service
CNName           : C=US, O=OnCommand, OU=OnCommand Host Package,
                   CN=VCENTER01.BAD-WURZACH.LOCAL
IssuerName       : C=US, O=OnCommand, OU=OnCommand Host Package,
                   CN=VCENTER01.BAD-WURZACH.LOCAL
ExpiryDate       : 11.06.2015 08:32:42
Sha256Thumbprint : 41:01:83:5C:6F:4F:91:46:2F:BB:F8:B1:AF:A4:A5:36:4D:33:2E:EA:
                   69:53:2E:2A:16:B7:46:85:7D:FF:7B:A8

Auch hier ist das Zertifikat abgelaufen. Bevor dieses Zertifikat erneuert werden kann, muss die Registierung auf dem DFM-Server aufgehoben werden. Dazu wieder auf den DFM-Server wechseln und folgenden Befehl eingeben:

C:\>dfm hs unregister -f 1648
Successfully un-registered Host Service '1648'.

Die Zahl am Ende ist eine ID, welche über den Befehl dfm hs list zu finden ist.
Es geht wieder zurück auf den vCenter-Server und geben untenstehenden Befehl ein:

PS C:\> New-HSCertificate

Host Service certificate change
NOTE: The command will change the Host Service certificate for current host only.
You are about to change Host Service certificate. This action would break Host Service communication with DataFabric Manager server until Host Service reregisters with
DataFabric Manager server.
Host Service would be restarted as a result of this action and subsequently it would automatically starts the registration process.
If there are existing running jobs, they would be abandoned.
You must also make sure that Host Service has been unregistered with DataFabric Manager server (dfm hs unregister -f yes <hsid>) before changing the Host Service certificate
[J] Ja  [A] Ja, alle  [N] Nein  [K] Nein, keine  [H] Anhalten  [?] Hilfe (Standard ist "J"):
Zertifikat wurde zu Keystore hinzugefügt.
Zertifikat wurde zu Keystore hinzugefügt.
WARNUNG: Warten auf Start des Diensts "OnCommand Host Service VMware Plug-in (VIPlugin)"...
WARNUNG: Warten auf Start des Diensts "OnCommand Host Service VMware Plug-in (VIPlugin)"...
WARNUNG: Warten auf Start des Diensts "OnCommand Host Service VMware Plug-in (VIPlugin)"...
WARNUNG: Warten auf Start des Diensts "OnCommand Host Service VMware Plug-in (VIPlugin)"...
WARNUNG: Warten auf Start des Diensts "OnCommand Host Service VMware Plug-in (VIPlugin)"...
WARNUNG: Warten auf Start des Diensts "OnCommand Host Service VMware Plug-in (VIPlugin)"...
WARNUNG: Warten auf Start des Diensts "OnCommand Host Service VMware Plug-in (VIPlugin)"...
WARNUNG: Warten auf Start des Diensts "OnCommand Host Service VMware Plug-in (VIPlugin)"...
WARNUNG: Warten auf Start des Diensts "OnCommand Host Service VMware Plug-in (VIPlugin)"...
WARNUNG: Warten auf Start des Diensts "OnCommand Host Service VMware Plug-in (VIPlugin)"...
WARNUNG: Warten auf Start des Diensts "OnCommand Host Service VMware Plug-in (VIPlugin)"...
WARNUNG: Warten auf Start des Diensts "OnCommand Host Service VMware Plug-in (VIPlugin)"...
WARNUNG: Warten auf Start des Diensts "OnCommand Host Service VMware Plug-in (VIPlugin)"...
WARNUNG: Warten auf Start des Diensts "OnCommand Host Service VMware Plug-in (VIPlugin)"...
WARNUNG: Warten auf Start des Diensts "OnCommand Host Service VMware Plug-in (VIPlugin)"...
WARNUNG: Warten auf Start des Diensts "OnCommand Host Service VMware Plug-in (VIPlugin)"...
WARNUNG: Warten auf Start des Diensts "NetApp OnCommand Host Service (OnCommandHostSvc)"...
WARNUNG: Warten auf Start des Diensts "NetApp OnCommand Host Service (OnCommandHostSvc)"...

Diese Prozedur kann bis zu 5 Minuten dauern. Also nicht ungeduldig werden…

Ist der Vorgang abgeschlossen wechseln wir wieder auf dem DFM-Server und geben ein:

C:\>dfm hs register 1648
Error: Failed to register Host Service with DNS name or IP Address '1648'.
Reason: Host Service (HostServiceId: 1648 IP Address: 10.207.184.61 FQDN: vcenter03.bad-wurzach.local) is already registered.

Die Fehlermeldung ist in diesem Fall „gewollt“.

Nun nochmals den Host Services prüfen:

C:\dfm hs list
Id         Host Name                                Host Address         Version    Status                 Timezone
---------- ---------------------------------------- -------------------- ---------- ---------------------- ----------------------------------------
630        vcenter0001                                10.xxx.xxx.xxx       1.3.0.1535 up                     GMT-2:00(2 hours East of UTC).
1648       vcenter0002                                10.xxx.xxx.xxx       Pending Authorization                    GMT-2:00(2 hours East of UTC).

Das vCenter taucht wieder auf mit der selben ID (Wichtig!). Aber die Authorisierung ist noch nicht erfolgt.
Dazu ist folgender Befehl notwendig:

dfm hs authorize 1648

Jetzt sieht es besser aus:

C:\dfm hs list
Id         Host Name                                Host Address         Version    Status                 Timezone
---------- ---------------------------------------- -------------------- ---------- ---------------------- ----------------------------------------
630        vcenter0001                                10.xxx.xxx.xxx       1.3.0.1535 up                     GMT-2:00(2 hours East of UTC).
1648       vcenter0002                                10.xxx.xxx.xxx       1.3.0.1535 up                    GMT-2:00(2 hours East of UTC).

Sicherheitshalber führe ich auf dem vCenter ein Neustart des Servers durch.

In Detail und auf Englisch im Handbuch nachgelesen werden:
NetApp® OnCommand® Unified Manager Windows® PowerShell Cmdlets Guide