Skip to main content
Sign Out

Welcome to Dell

My Account
  • Place orders quickly and easily
  • View orders and track your shipping status
  • Enjoy members-only rewards and discounts
  • Create and access a list of your products
  • Manage your Dell EMC sites, products, and product-level contacts using Company Administration.
Sign In Create an Account Dell Financial Services Premier Sign In Partner Program Sign In
Contact Us

Your Dell.com Carts

Article Number: 000082108

Dell VxRail: Nelze se přihlásit do nástroje vCenter kvůli vypršení platnosti certifikátů

Summary: VxRail 4.5 a 4.7: Nelze se přihlásit k nástroji vCenter kvůli vypršení platnosti certifikátů. Certifikáty je nutné vystavit znovu. VxRail 7.0.480 nebo novější: Platnost certifikátu s upozorněním vyprší za méně než 60 dní, doporučujeme certifikát předem obnovit. ...

This article may have been automatically translated. If you have any feedback regarding its quality, please let us know using the form at the bottom of this page.

Article Content

Symptoms

1. scénář: Platnost certifikátu vCenter již vypršela. (pro všechny verze VxRail)

  • Nelze se přihlásit do uživatelského rozhraní vCenter.
  • Jakýkoli pokus o přihlášení, když je k dispozici webové uživatelské rozhraní, selže, a to i se správnými přihlašovacími údaji.
Přihlášení se nezdaří, pokud jsou zadány správné přihlašovací údaje
  • Restartování služeb VCSA se nezdařilo.
  • Restartování služeb nezobrazí všechny služby.
Zobrazené chyby:  
/var/log/vmware/vpxd-svcs/vpxd-svcs.log:
2020-06-03T09:31:04.523Z [pool-8-thread-1  INFO  com.vmware.identity.token.impl.X509TrustChainKeySelector  opId=905f6864-c067-4db6-828c-1d59c4b43bf8] Failed to find trusted path to signing certificate <CN=ssoserverSign>
sun.security.provider.certpath.SunCertPathBuilderException: unable to find valid certification path to requested target
        at sun.security.provider.certpath.SunCertPathBuilder.build(SunCertPathBuilder.java:141)


Scénář 2: Platnost certifikátu vCenter vyprší za méně než 60 dní. (Pro verzi VxRail 7.0.480 a vyšší)

  • Přihlášení k uživatelskému rozhraní vCenter je dokončeno, ale VxRail 7.0.480 a novější verze zobrazují na stránce Configure > VxRail >> Certificate >All TrustStore Certificates varování s informací, že platnost certifikátu vyprší za méně než 60 dní.
Zobrazí se varovná zpráva, že platnost certifikátu vyprší

Cause

Platnost certifikátů vCenter vypršela nebo brzy vyprší
.Verze VxRail, které byly původně vyrobeny před verzí 4.7, mohou mít certifikáty s životností dva roky od data instalace. V době psaní tohoto článku má zařízení VxRail verze 4.7.410 všechny certifikáty s 10letou životností.

Upgrady podverze se nedotýkají certifikátů!
Pro systém VxRail, který byl původně vytvořen na verzi 4.5.210 a novějších verzích, mají certifikáty dvouletou dobu platnosti. Podrobný popis naleznete v článku společnosti VMware Kontrola vypršení platnosti certifikátu STS na serverech vCenter (79248). Tento hypertextový odkaz vás zavede na webové stránky mimo společnost Dell Technologies.

Pomocí zobrazení certifikátu v prohlížeči na přihlašovací stránce VCSA potvrďte, že platnost certifikátu vypršela, nebo zobrazte certifikáty v rozhraní příkazového řádku PSC VCSA pomocí příkazu z článku VMware "Signing certificate is not valid" ve verzi VCSA 6.5.x,6.7.x nebo vCenter Server 7.0.x, 8.0.x. (76719) Tento hypertextový odkaz vás zavede na webové stránky mimo společnost Dell Technologies. 
for i in $(/usr/lib/vmware-vmafd/bin/vecs-cli store list); do echo STORE $i; /usr/lib/vmware-vmafd/bin/vecs-cli entry list --store $i --text | egrep "Alias|Not After"; done

Resolution

V případě scénáře 1, kdy platnost certifikátu vCenter již vypršela, postupujte podle níže uvedeného postupu a vygenerujte nové certifikáty podepsané držitelem na službách PSC a VCSA.

 
Poznámka: Tento postup je určen pro jednotlivé virtuální počítače PSC nebo VCSA, které jsou udržovány prostřednictvím VxRail LCM. V případě řešení HA, ELM nebo virtuálních počítačů nasazených zákazníkem otevřete lístek VMware!
 
Poznámka: Pořizujte OFFLINE snímky VRM, PSC a VCSA!
 
Poznámka: Zkontrolujte, zda se snapshot vytvořil bez chyb! NEPOKRAČUJTE bez platných snapshotů!
 
Poznámka: Pokud dojde k problémům, neopakujte akci bez vrácení snapshotů!
 
  1. Oprava PSC:
Resetovat všechny certifikáty (tato možnost se nezdaří, ale očekává se.)
  • Spusťte Správce certifikátů:     
/usr/lib/vmware-vmca/bin/certificate-manager
  • Vyberte možnost 8 >: Resetovat všechny certifikáty
    • Confirm
"Do you wish to generate all certificates using configuration file : Option[Y/N] ?"
  • Zadání přihlašovacích údajů
Správce certifikátů – možnost 8
  • Zadat hodnoty
    • Nechte pole IPAddress prázdné.
    • Vložte název hostitele jako plně kvalifikovaný název domény řadiče PSC.
    • Pole Název VMCA je název vytvářené nové kořenové certifikační autority, například VxRail CA.
  • Confirm
"Continue operation : Option[Y/N] ?"
  • Confirm
"Continue operation : Option[Y/N] ?"
  • Tato operace selže s chybami:
Get site nameCompleted [Reset Machine SSL Cert...]
g3node-site
Lookup all services
Get service xxxxxx-site:xxxxxxx-d202-4d8f-9282-xxxxxx317b8f
Update service xxxxxx-site:xxxxxxxx-d202-4d8f-9282-xxxxxx317b8f; spec: /tmp/svcspec_a1hipoqq

Status : 0% Completed [Reset operation failed]

please see /var/log/vmware/vmcad/certificate-manager.log for more information.
root@xxxxc [ ~ ]#
 
Snímek obrazovky se zprávou o selhání
  1. Oprava problému se službou STS
 
Spuštění skriptu z článku VMware
  • Zastavení služeb
service-control --all --stop
  • Spustit služby (to se nepodaří, ale to se očekává)
service-control --all --start
Služby Stop a Start
  • Počkejte, až vyprší časový limit procesu, nebo jej zastavte, když se dostane do služby vmware-vmon 
/usr/lib/vmware-vmca/bin/certificate-manager
  • Vyberte možnost 6 >: Nahrazení uživatelských certifikátů řešení certifikáty VMCA
  • Confirm 
"Do you wish to generate all certificates using configuration file : Option[Y/N] ?"
  • Zadání přihlašovacích údajů
  • Zamítnout (zadejte "N") pro rekonfiguraci, protože všechny možnosti byly nakonfigurovány výše
"certool.cfg file exists, Do you wish to reconfigure : Option[Y/N] ?"
  • Confirm
"You are going to regenerate Solution User Certificates using VMCA, Continue operation : Option[Y/N] ?"
  • Počkejte, dokud se postup neukončí. Tento postup:
    • Generuje všechny certifikáty
    • Zastaví služby
    • Spustí služby.
Vygenerovat certifikát
  • Zkontrolujte , zda jsou spuštěny všechny služby .
service-control --all --status
Potvrďte, že jsou služby spuštěny. 
  1. Oprava certifikátů na VCSA
Zastavte a spusťte všechny služby. To MUSÍ být provedeno PO spuštění všech služeb PSC!
  • Zastavit
service-control --all --stop
  • Spustit
service-control --all --start
 
Zastavení a spuštění služeb po spuštění řadiče PSC
  • Počkejte, až vyprší časový limit procesu, nebo jej zastavte, když se dostane do služby vmware-vmon 
/usr/lib/vmware-vmca/bin/certificate-manager
  • Vyberte možnost 8 >: Resetovat všechny certifikáty
  • Spustit Správce certifikátů
  • Confirm
"Do you wish to generate all certificates using configuration file : Option[Y/N] ?"
  • Zadání přihlašovacích údajů
Zadejte přihlašovací údaje a vyberte možnost 8.
  • Zadejte IP adresu PSC.
  • Zadat hodnoty
    • Nechte pole IPAddress prázdné.
    • Zadejte název hostitele jako plně kvalifikovaný název domény VCSA.
    • Pole Název VMCA je název vytvářené nové kořenové certifikační autority, například VxRail CA.
  • Confirm
"Continue operation : Option[Y/N] ?"
  • Confirm
"Continue operation : Option[Y/N] ?"
 
Zadejte hodnoty a potvrďte pokračování v operaci
  • Počkejte, až se vygenerují všechny certifikáty a zobrazí se zpráva o úspěšném dokončení.
"Reset status : 100% Completed [Reset completed successfully]"
Zpráva o úspěšném dokončení obnovení
 
Zpráva
  • Zkontrolujte, zda jsou spuštěny všechny služby.
service-control --all --status
 
Potvrďte, že jsou služby spuštěny.
  • Přístup k uživatelskému rozhraní vCenter
  • Přístup přes DNS v prohlížeči Chrome selže kvůli HSTS. Otevřete adresu VCSA IP adresu nebo použijte jiný podporovaný prohlížeč, například FireFox.
Připojení DNS Chrome není soukromé


Pokračovat v připojení Chrome IP


V případě 2. scénáře, kdy platnost certifikátu vCenter vyprší za méně než 60 dní, postupujte podle níže uvedeného postupu a obnovte certifikát předem, aby nedošlo k odpojení nástroje VxRail Manager od nástroje vCenter.

  1. Přihlaste se k nástroji vCenter přes SSH jako uživatel root.
  2. Restartovat služby
  • Spustit Zastavit
"service-control --stop --all"
  • Spustit Start
"service-control --start --all"
  1. Resetovat všechny certifikáty
  • Spusťte příkaz:
"/usr/lib/vmware-vmca/bin/certificate-manager"
  • Vyberte možnost 8 >: Resetovat všechny certifikáty
Resetovat všechny certifikáty (možnost 8)
  • Zadejte uživatelské jméno a heslo vSphere.
Zadejte uživatele a heslo vSphere.
  • Vyplňte vlastnosti certifikátu.
Vložte vlastnosti certifikátu.
  • Potvrďte operaci a poté se obnoví kořenový certifikát nebo certifikát počítače vCenter.Potvrďte obnovení certifikátů
  1. Postupujte podle článku Dell VxRail: Jak ručně importovat certifikát vCenter SSL v nástroji VxRail Manager za účelem importu aktualizovaných certifikátů vCenter a certifikační autority do úložiště důvěryhodných certifikátů VxRail Manager.

Additional Information

  • VŽDY pořiďte snapshoty systémových virtuálních počítačů (PSC, VCSA a VRM), než budete postupovat podle tohoto článku.
  • Tento postup je určen pro virtuální počítače PSC VCSA, které jsou udržovány prostřednictvím VxRail LCM.
  • Pokud má uživatel certifikáty z vlastní infrastruktury, může je nyní nahradit.
  • Po opravě pro VxRail verze 4.7.100 a novější postupujte podle článku znalostní databáze Dell VxRail: Jak ručně importovat certifikát vCenter SSL v nástroji VxRail Manager za účelem importu nového kořenového certifikátu do VRM (doplněk nefunguje).

Article Properties

Affected Product

VxRail Appliance Family, VxRail Appliance Series

Last Published Date

15 Mar 2024

Version

7

Article Type

Solution

Back to Top