VMware Vcenter Server - Problemen met private keys gemaakt met OpenSSL 1.0.0

Het is mogelijk dat private keys die zijn aangemaakt met OpenSSL 1.0.0 tot problemen leiden wanneer ze gebruikt worden in combinatie met onderdelen van Tomcat, wat onder andere gebruikt wordt in VMware Vcenter Server. Het is te herkennen aan het volgende:

  • Bij het proberen in te zien van de Storage Views pagina verschijnt de foutmelding:
    The storage service is not initialized.  Please try again later.
  • Bij het proberen in te zien van de Performance Overview pagina verschijnt de melding:
    Report application initialization has not completed successfully.  Retry in 60 seconds.
  • vws.log, stats.log en sms.log bevatten regels met de foutmelding:
    [2011-03-24 11:21:17,604 Timer-5  ERROR 'com.vmware.vim.jointool.util.db.Decrypter'] Error constructing private key
  • Bij pogingen om de Hardware Status in te zien, verschijnt er een rechten-foutmelding en verschijnen er in vws.log regels met de foutmelding:
    [2011-03-24 14:47:26,650 http-8443-10 INFO com.vmware.vim.security.vcauthorize.AuthorizeMgr] Computing permissions for Admin
    [2011-03-24 14:47:27,333 http-8443-2 WARN com.vmware.vim.security.vcauthorize.impl.XhiveParentChainCache] parent chain cache miss: host-32699
    [2011-03-24 14:47:27,336 http-8443-2 ERROR com.vmware.vim.security.vcauthorize.AuthorizeMgr] Parent chain incomplete for: host-32699
    [2011-03-24 14:47:27,336 http-8443-2 ERROR com.vmware.vim.cimmonitor.gwt.server.GwtCimServiceImplementation] [CimMonitorService] User has insufficient privileges to perform operation. 

Oorzaak

OpenSSL maakt sinds versie 1.0.0 standaard gebruik van het PKCS#8 formaat voor het opslaan van private keys; Tomcat kan hier echter niet mee overweg.

Oplossing

Gebruik een versie van OpenSSL van vóór 1.0.0 om de private key en CSR aan te maken. Indien er reeds een certificaat is besteld en uitgegeven kan deze kosteloos opnieuw worden uitgegeven; maak eerst een private key en een CSR aan met de juiste versie van OpenSSL, log vervolgens in op ons Control Panel en kies bij het betreffende certificaat de optie Heruitgifte.

SSLCheck

De SSLCheck controleert of je certificaat goed op je server is geïnstalleerd en of er mogelijke problemen zijn.