Vlákno názorů k článku Certifikáty pro HTTPS zkrátí postupně do roku 2029 svou životnost na 47 dní od Izak - Bude nutne ;-) ... no ja to vyresil...

Bude nutne ;-) ... no ja to vyresil self signet certifikatu na 10 let tolik k bude muset ;-)

btw. ta sranda, nektere certifiklaty vyzaduji opravdove prasarny a mame na to profil v AD !!! ano az tak, jinak neprojde ;-)

A ted ta prdel, ma to management server, kde to funguje - ten jsme ale zrusili, nebot uz neplatime support ;-) ale diskove pole ma svoji spravu - jo tak ta podepsany certifikat ani nevezme ...

BTW ten managemnet server mel tez svuj certifikat, kdyz jsme se pidil proc --- tak procedura je vedela, nebot se to dela rucne v konsoli, kde ale nemate vsude pristup, nebot je to omezeny shell, a ty certifikaty se tam buldili primo do nejakych java balicku ;-) -- toi ze ma neco hodne prikazu z mnoha parametry vubec nevadi, dalo by se to nejak scriptovat - i kdyz je to nepdorovane a vlastne tim ztracite zartuku, ale u scriptu navic by asi nikdo neprostestoval - no jenze je to prece HPE enterprise resenio ;-)) ... takze to nefunguje a musi se tam veci opakovat a resit rucne, cekat a overovat ze uz neco dobehlo ... nebot vas command dobehl ... ale na pozadi se pak dely dalsi veci ... a zadani dlasiho prikazu z dokumnetace to mohlo zhroutit ... zato generace self signed cert. kupodivu fungovala ;-)

Jo co takhle WSAPI pro vmware ;-) - tam mame tez 10 let silef signed - proc ? protoze se to taky muze seknout a pak se musi restarovat cely vcenter ;-) ... a mezi tim nespustrite, nepridate zadnou VM - ty co bezi bezi - ale expiruje certifikat a je honec ... nakonec to vmware vyresil - jo ja taky zrusiol jsme vsechny vvol a presel zpet na ciste FC a ne ze to ma sice FC ale dela si tam sparvu pres vvol ... cili je snazsi prijmout rucne certifikat, nez to kazdy rok obnovovat ... jo a ta prdel tahle sluba na poli jako jedian vyzaduje po zmene certifikatu restart ... i kdyz tvrdili, ze uz jej pouziva, CURL nam rekl teda neco jineho ... dokumnmetace taky nerikal, ze je treba sluzbu restartovat - no coz uz, restart je rychly a nic neovlivni ... jo a pri vymene cert nadikovem poli je treba vzdy refresh i ve vmware ;-) je kurna jedno, ze je podesana, je treba refresh ... no a byla tam chyba, ze refresh nemuzel probehnopu a bylo treba to smazat a vytvoruit znova a kdyz nepomohlo ani to, tak reboot VC ... chyba ze se to opravovalo v postgreesql databazi uz jsem s tim nezazil, ale i to v dokumentaci vmware bylo ... to jen tak, ze takovy certifikat je vsude snadne vymenit a jako to budete automatizovat a jak vymenim diskove pole za 600.000 EURO -- to spise nakopu Apple nekam , a s rozbehem ;-) - konec koncu v AD a na svoji cert. autorite si muzu delat co chci - jen doufam ze security tym neprijde a tak jako nam zakazal vlastni autoritu,, nema nezakaze 1 a 2 rocni cert v AD - pak totiz zacneme ignorovat security ... v kubernetes si konec koncu delaji cert. vlastni a duveruji sami sobe ...

Ale u aplikaci, ktere jedou pro klienty a jsou nekde venku to problem nebude, tam uz je to vyresene davno o tom zadna - tam je to na profi urovni.

Jo a pro opravdu stare enterprise veci mam stary firefox - uz sec., rvali ze musim smazat starou javu - poslal bych je dopr* nebot neni nainstalovana ale je v te portable apce ;-)) ... ale uz ji nepotrebuji, uz jste nekdy videli diskove pole EMC VNX ? ... tak tam bezi windows ... jako ze fakt, proto jsme nikdy nechtel EMC a nikdy nedovolil jeho nasazeni - no zde jsem to zdedil ;-) ... a k te je je jen javaws konsole, ano to co podporuje jen stara java, nova ne a jen stary firefox - ktery ten stary plugin podporuje - to same certifikace - stare cert. jsou preskocit jen ve stare verzi FF ... nastesti uz to nepotrebuji, nebot vse stare uz jsme zmigrovali - ne ze by nas trapily tyhle veci, ale support uz by stal fakt balik a spolehlivost by se uz taky nezlepsovala ;-) ... jasne produkce byla uz davno zmigrovana, ale na devops se setri a je to tak vlastne spravne

"ja to vyresil self"

Ma to jen takovou drobnou potiz, ze aplikace ti s tim nebudou fungovat a zhorsuje se to den ode dne.

Co je to za HPE vec? Tak treba hpe ilom zvlada renewal pres SCEP.
Ale admini maji pohackovane leccos. Prakticky neexistuje pro IT oddeleni 'bezpecna" konfigurace.
WSAPI je naprosty hnuj dekuji nechci a VMware umre zrejme vlastni "cenovou" vahou.
Bezne mi ale chodi reporty kolik lidi ma starou javou nebo kde vsude bezi dedikovane terminal win servery s IE a activex na izolovane siti.

17. 4. 2025, 09:00 editováno autorem komentáře

Vmware se vratil s free ESXi ... duvod je jasny, vsichni mali zmigrovali k Proxmox - tim padem se tam objevuji i placeni zakaznici, Proxmox ma vice penez na vyvoj a hrozi, ze to zdokonali tak, ze vmware bude mit konkurenci ;-) ... nemaji podporu vice clusteru - tak uz delaji datacenter manager - ale jen to 0.1-Alpha ... pokud vyresi poradne zdileny FC storage, tak ma vmware vazny problem ;-) ... podle, me by tam mohli dat gfs2 nebo jeho klon z Oracle ... a Vmware uz nam i zdelil, ze planuji zlevnit ...

Mi jim totiz rekli, ze od nich asi neodejdem, ale ze je omezime na maximum, tedy dockery pujdou na zelezo, obsluzne servery na KVM - na 3 servery s tiom, ze nebudem resit migrujici storage - tyhle ridici nody je mozno vypinat pri maint. ... pody/dockery nezjimaji nikoho, ty se spusti znova ... a male site mozna pujdou na neco jineho