Dell VxRail:証明書の有効期限が切れているためvCenterにログインできない
Summary: VxRail 4.5および4.7: 証明書の有効期限が切れているため、vCenterにログインできません。証明書を再発行する必要があります。 VxRail 7.0.480以降: 警告:証明書の有効期限が60日以内に切れます。事前に証明書を更新することをお勧めします。
This article applies to
This article does not apply to
Symptoms
シナリオ1:vCenter証明書の有効期限が切れています(すべてのVxRailバージョンの場合)。
- vCenter UIにログインできません。
- Web UIが使用可能な場合のログイン試行は、正しい認証情報を使用しても失敗します。
- VCSAサービスの再起動が失敗します。
- サービスを再起動しても、すべてのサービスが起動するわけではありません。
確認されたエラー:
/var/log/vmware/vpxd-svcs/vpxd-svcs.log: 2020-06-03T09:31:04.523Z [pool-8-thread-1 INFO com.vmware.identity.token.impl.X509TrustChainKeySelector opId=905f6864-c067-4db6-828c-1d59c4b43bf8] Failed to find trusted path to signing certificate <CN=ssoserverSign> sun.security.provider.certpath.SunCertPathBuilderException: unable to find valid certification path to requested target at sun.security.provider.certpath.SunCertPathBuilder.build(SunCertPathBuilder.java:141)
シナリオ2:vCenter証明書の有効期限が60日以内に切れます。(VxRail 7.0.480以降のバージョンの場合)
- vCenter UIへのログインが完了しても、VxRail 7.0.480以降のバージョンでは、VxRailクラスターの[>VxRail証明書>の構成>]>の[すべてのトラスト ストア証明書]ページに、証明書の有効期限が60日以内に切れることを示す警告が表示されます。
Cause
vCenter証明書の有効期限が切れているか、間もなく期限切れになります。
4.7より前に最初に構築されたVxRailバージョンには、インストール日から2年間の有効期間を持つ証明書が発行されている場合があります。この記事の作成時点では、4.7.410のVxRailビルドには、有効期間が10年の証明書がすべて含まれています。
マイナー バージョンのアップグレードでは、証明書には影響しません。
4.5.210以降のバージョンで最初に構築されたVxRailの場合、証明書の有効期間は2年間です。詳細な説明を確認するには、VMwareの記事「Checking of Expiration of STS Certificate on vCenter Servers (79248)」
を参照してください。
VCSAのログイン ページのブラウザーで証明書の表示を使用して証明書の有効期限が切れていることを確認するか、またはVCSA 6.5.x、6.7.x、またはvCenter Server 7.0.x、8.0.xで発生するVMware記事「署名証明書が有効ではありません」エラーのコマンドを使用して、PSC VCSAのCLIで証明書を一覧表示します。(76719)
4.7より前に最初に構築されたVxRailバージョンには、インストール日から2年間の有効期間を持つ証明書が発行されている場合があります。この記事の作成時点では、4.7.410のVxRailビルドには、有効期間が10年の証明書がすべて含まれています。
マイナー バージョンのアップグレードでは、証明書には影響しません。
4.5.210以降のバージョンで最初に構築されたVxRailの場合、証明書の有効期間は2年間です。詳細な説明を確認するには、VMwareの記事「Checking of Expiration of STS Certificate on vCenter Servers (79248)」
を参照してください。
VCSAのログイン ページのブラウザーで証明書の表示を使用して証明書の有効期限が切れていることを確認するか、またはVCSA 6.5.x、6.7.x、またはvCenter Server 7.0.x、8.0.xで発生するVMware記事「署名証明書が有効ではありません」エラーのコマンドを使用して、PSC VCSAのCLIで証明書を一覧表示します。(76719)
for i in $(/usr/lib/vmware-vmafd/bin/vecs-cli store list); do echo STORE $i; /usr/lib/vmware-vmafd/bin/vecs-cli entry list --store $i --text | egrep "Alias|Not After"; done
Resolution
シナリオ1では、vCenter証明書の有効期限がすでに切れている場合は、次の手順に従って、PSCおよびVCSAで新しい自己署名証明書を生成します。
注:この手順は、VxRail LCMを通じて維持される単一のPSCまたはVCSA VMを対象としています。HA、ELM、またはお客様が導入したVCの場合は、VMwareチケットをオープンします。
注:VRM、PSC、VCSAの オフライン スナップショットを作成します。
注:スナップショット作成プロセスがエラーなしで終了したかどうかを確認します。有効なスナップショットがない状態で続行しないでください。
注:問題が発生した場合は、スナップショットに戻さずに再試行しないでください。
- PSCの修正:
すべての証明書をリセットします(これは失敗しますが、これは想定内です)。
- 証明書マネージャーを起動します。
/usr/lib/vmware-vmca/bin/certificate-manager
- オプション 8 > [Reset all Certificates] を選択します。
- [Confirm]
"Do you wish to generate all certificates using configuration file : Option[Y/N] ?"
- 資格情報の入力
- 値の入力
- [IPAddress]フィールドは空のままにします
- PSCのFQDNとしてホスト名を入力します
- [VMCA名]フィールドは 、作成される新しいルートCAの名前です(例:VxRail CA)。
- [Confirm]
"Continue operation : Option[Y/N] ?"
- [Confirm]
"Continue operation : Option[Y/N] ?"
- この操作は、次のエラーで失敗します。
Get site nameCompleted [Reset Machine SSL Cert...]
g3node-site
Lookup all services
Get service xxxxxx-site:xxxxxxx-d202-4d8f-9282-xxxxxx317b8f
Update service xxxxxx-site:xxxxxxxx-d202-4d8f-9282-xxxxxx317b8f; spec: /tmp/svcspec_a1hipoqq
Status : 0% Completed [Reset operation failed]
please see /var/log/vmware/vmcad/certificate-manager.log for more information.
root@xxxxc [ ~ ]#
- STSの問題を修正します
VMwareの記事「VCSA 6.5.x、6.7.x、またはvCenter Server 7.0.x、8.0.xで「署名証明書が有効ではありません」エラー」からスクリプトをダウンロードして実行します。(76719)
- サービスの停止
service-control --all --stop
- サービスを開始します (これは失敗しますが、想定どおりの動作です)
service-control --all --start
- プロセスがタイムアウトするまで待つか、 vmware-vmonサービスに到達したら停止します
/usr/lib/vmware-vmca/bin/certificate-manager
- オプション6>ソリューション ユーザー証明書をVMCA証明書に置き換えるを選択します
- [Confirm]
"Do you wish to generate all certificates using configuration file : Option[Y/N] ?"
- 資格情報の入力
- 拒否(「N」と入力)は、上記ですべてのオプションが構成されているため、再構成します
"certool.cfg file exists, Do you wish to reconfigure : Option[Y/N] ?"
- [Confirm]
"You are going to regenerate Solution User Certificates using VMCA, Continue operation : Option[Y/N] ?"
- プロシージャーが終了するまで待ちます。この手順では、次のことを行います。
- すべての証明書を生成します
- サービスを停止します
- サービスを開始します
- すべてのサービスが実行されているかどうかを確認します
service-control --all --status
- VCSAの証明書の修正
すべてのサービスを停止して開始します。これは、すべてのPSCサービスが実行された後に実行する必要があります。
- Stop(停止)
service-control --all --stop
- Start
service-control --all --start
- プロセスがタイムアウトするまで待つか、 vmware-vmonサービスに到達したら停止します
/usr/lib/vmware-vmca/bin/certificate-manager
- オプション 8 > [Reset all Certificates] を選択します。
- Certificate Managerの起動
- [Confirm]
"Do you wish to generate all certificates using configuration file : Option[Y/N] ?"
- 資格情報の入力
- PSC IPの入力
- 値の入力
- [IPAddress]フィールドは空のままにします
- VCSAのFQDNとしてホスト名を入力します
- [VMCA名]フィールドは 、作成される新しいルートCAの名前です(例:VxRail CA)。
- [Confirm]
"Continue operation : Option[Y/N] ?"
- [Confirm]
"Continue operation : Option[Y/N] ?"
- すべての証明書が生成され、正常に完了したことを示すメッセージが表示されるまで待ちます
"Reset status : 100% Completed [Reset completed successfully]"
- すべてのサービスが実行されていることを確認する
service-control --all --status
- vCenter UIへのアクセス
- HSTSが原因でChromeでDNSによるアクセスが失敗する。VCSA IPを開くか、FireFoxなどの別のサポートされているブラウザーを使用します。
シナリオ2では、vCenter証明書の有効期限が60日以内に切れる場合は、VxRail ManagerがvCenterから切断されるのを回避するために、次の手順に従って事前に証明書を更新します。
- rootユーザーとしてSSH経由でvCenterにログインします。
- サービスの再起動
- 実行 停止
"service-control --stop --all"
- ファイル名を指定して実行 開始
"service-control --start --all"
- すべての証明書をリセット
- 次を実行:
"/usr/lib/vmware-vmca/bin/certificate-manager"
- オプション 8 > [Reset all Certificates] を選択します。
- vSphereのユーザー名とパスワードを入力します
- 証明書のプロパティを入力します
- 操作を確認すると、vCenterのrootまたはマシンの証明書が更新されます
Additional Information
- この記事に従う前に、必ずシステムVM(PSC、VCSA、VRM)のスナップショットを作成してください。
- この手順は、VxRail LCMを通じて維持されるPSC VCSA VMを対象としています。
- ユーザーが独自のインフラストラクチャからの証明書を持っている場合は、すぐに置き換えることができます。
- VxRailバージョン4.7.100以降の修正後は、KB記事「 Dell VxRail: VxRail ManagerでvCenter SSL証明書を手動でインポートして 、新しいルート証明書をVRMにインポートする方法(プラグインは動作しません)。