Il rinnovo del certificato dell’Onboard Administrator (OA) in un BladeSystem C7000 è un passaggio spesso sottovalutato, ma fondamentale per garantire la continuità e la sicurezza della gestione dell’infrastruttura.

In ambienti governati da HP OneView, questo aspetto diventa ancora più delicato: un certificato scaduto può causare problemi di accesso, generare allarmi e impedire una corretta comunicazione tra i componenti.

In questo articolo vedremo come affrontare il rinnovo del certificato in modo ordinato, evitando interruzioni nei servizi e mantenendo il sistema allineato alle best practice di sicurezza.

Quando il certificato dell’Onboard Administrator (OA) in un enclosure HPE BladeSystem c7000 scade, l’integrazione con HPE OneView e l’accesso via interfaccia web ne vengono impattati in questo modo:

Accesso web non sicuro: i browser segnaleranno il certificato scaduto come non attendibile. Si può comunque accedere ignorando l’avviso, ma non è consigliato in produzione.

Comunicazione con OneView:

• OneView si affida a connessioni HTTPS per comunicare con l’OA.
• Se il certificato dell’OA è scaduto, OneView lo considera non valido → la comunicazione può interrompersi o risultare in stato “Unmanaged/Communication Error” per l’enclosure.
• Di conseguenza, OneView non riesce più a raccogliere dati di stato, inventory, power, firmware ecc. fino a quando non viene aggiornato il certificato.

Operazioni automatizzate e monitoraggio: funzioni come firmware baseline compliance, enclosure group policy, alert forwarding ecc. possono fallire o interrompersi.

Cosa non succede:

• L’enclosure e i blade continuano a funzionare regolarmente a livello hardware.
• Le funzioni locali (via seriale o CLI non HTTPS) non vengono bloccate.
• Non c’è un impatto diretto sul traffico di produzione della rete dei server blade.

Di seguito l’errore che compoare quando c’è un problema di certificato sull’Onboard Administration

Unable to establish trusted communication with the Onboard Administrator at npotrn2cp1oa1a.npo-torino.mgt. The certificate is not trusted because it is self-signed and not in your trust store.
Resolution Add the self-signed certificate to the appliance trust store, then refresh the enclosure to restore communications.
Add certificates

La prima cosa da fare è rinnovare il certificato Self-Signed sulla Onboard Administration

RINNOVO CERTIFICATO SULL’ONBOARD ADMINISTRATION

Per rinnovare il certificato sulla Onboard Administration collegarsi via web all’IP o FQDN

Cliccare su Certificate Request

Selezionare Generate a self-signed certificate quiindi compilare tutti i campi rtichiesti

Cliccare Apply

Attendere il reset dell’Onboard Administration

Accedere di nuovo all’Onboard Administration e verificare che sia stato generato il certificato valido per 10 anni come mostrato nell’immagine sovrastante

RINNOVO CERTIFICATO SU HP ONEVIEW

Per rinnovare il certificato su HP OneView procedere come di seguito

Cliccare dal menù a sinistra Settings

Cliccare Manage Certificates

Cliccare Add Certificates

Selezionare Add certificate from an IP address or hostname quindi inserire l’ìindirizzo IP dell’Onboard Administration.

Selezionare l’opzione Force trust leaf certificate quindi cliccare View Certificate

Riguardare tutte le info relative al certificato quindi cliccare Add

Se è andato tutto a buon fine dovremmo visualizzare il certificato dell’Onboard Administration aggiunta.

Cliccare Close

A questo punto sulla Dashboard di HP OneView dovremmo visualizzare l’Enclosure senza nessun problema come mostrato nell’immagine sovrastante.