Scenario 1: vCenter-sertifikatet er allerede utløpt. (For alle VxRail-versjoner)
- Kan ikke logge på vCenter-brukergrensesnittet.
- Alle påloggingsforsøk når webgrensesnittet er tilgjengelig, mislykkes selv med riktig legitimasjon.
- Omstart av VCSA-tjenester mislykkes.
- Når tjenestene startes på nytt, hentes ikke alle tjenestene.
Feil observert:
/var/log/vmware/vpxd-svcs/vpxd-svcs.log:
2020-06-03T09:31:04.523Z [pool-8-thread-1 INFO com.vmware.identity.token.impl.X509TrustChainKeySelector opId=905f6864-c067-4db6-828c-1d59c4b43bf8] Failed to find trusted path to signing certificate <CN=ssoserverSign>
sun.security.provider.certpath.SunCertPathBuilderException: unable to find valid certification path to requested target
at sun.security.provider.certpath.SunCertPathBuilder.build(SunCertPathBuilder.java:141)
Scenario 2: vCenter-sertifikatet utløper om mindre enn 60 dager. (For VxRail 7.0.480 og nyere versjoner)
- Logg på vCenter-brukergrensesnittet er fullført, men VxRail 7.0.480 og nyere versjoner viser en advarsel i VxRail-klynge > Konfigurer > VxRail-sertifikat >>Alle Trust Store-sertifikater-siden som sier at sertifikatet utløper om mindre enn 60 dager.
vCenter-sertifikater er utløpt eller utløper snart.
VxRail-versjoner som opprinnelig ble bygget før 4.7, kan ha sertifikater utstedt med en levetid på to år fra installasjonsdatoen. I skrivende stund har en VxRail-build på 4.7.410 alle sertifikater med 10 års levetid.
Mindre versjonsoppgraderinger berører ikke sertifikatene!
For VxRail som opprinnelig ble bygget på 4.5.210 og senere versjoner, har sertifikatene en gyldighetsperiode på to år. Se VMware-artikkelen
Kontrollere utløpsdatoen for STS-sertifikatet på vCenter-servere (79248)
![Denne hyperkoblingen tar deg til et nettsted utenfor Dell Technologies. Denne hyperkoblingen tar deg til et nettsted utenfor Dell Technologies.](https://i.dell.com/is/image/DellContent/pop-up-arrow-corner-carbon-64px-1)
for å bekrefte den detaljerte beskrivelsen.
Bruk visningssertifikatet i nettleseren på påloggingssiden for VCSA for å bekrefte at sertifikatet er utløpt, eller oppgi sertifikatene i CLI-en for PSC VCSA med kommandoen fra VMware-artikkelen
«Signeringssertifikatet er ikke gyldig»-feilen i VCSA 6.5.x, 6.7.x eller vCenter Server 7.0.x, 8.0.x. (76719)
for i in $(/usr/lib/vmware-vmafd/bin/vecs-cli store list); do echo STORE $i; /usr/lib/vmware-vmafd/bin/vecs-cli entry list --store $i --text | egrep "Alias|Not After"; done
For scenario 1, når vCenter-sertifikatet allerede er utløpt, følger du fremgangsmåten nedenfor for å generere nye selvsignerte sertifikater på PSC og VCSA.
Merk: Denne fremgangsmåten er beregnet for enkle virtuelle PSC- eller VCSA-maskiner som vedlikeholdes via VxRail LCM. For HA-, ELM- eller kundedistribuerte VC-er åpner du en VMware-billett!
Merk: Ta FRAKOBLEDE øyeblikksbilder av VRM, PSC og VCSA!
Merk: Sjekk om prosessen for oppretting av øyeblikksbilder er fullført uten feil! IKKE fortsett uten gyldige øyeblikksbilder!
Merk: Hvis det oppstår problemer, må du ikke prøve på nytt uten å gå tilbake til øyeblikksbilder!
- Reparer PSC:
Tilbakestill alle sertifikater (Dette mislykkes, men det er forventet.)
- Start sertifikatbehandling:
/usr/lib/vmware-vmca/bin/certificate-manager
- Velg alternativ 8 > Tilbakestill alle sertifikater
"Do you wish to generate all certificates using configuration file : Option[Y/N] ?"
- Skriv inn verdier
- La IP-adressefeltet stå tomt
- Skriv inn vertsnavn som FQDN for PSC
- VMCA-navnefelt er navnet på den nye rotsertifiseringsinstansen som opprettes, for eksempel VxRail CA.
- Bekrefte
"Continue operation : Option[Y/N] ?"
"Continue operation : Option[Y/N] ?"
- Denne operasjonen mislykkes med:
Get site nameCompleted [Reset Machine SSL Cert...]
g3node-site
Lookup all services
Get service xxxxxx-site:xxxxxxx-d202-4d8f-9282-xxxxxx317b8f
Update service xxxxxx-site:xxxxxxxx-d202-4d8f-9282-xxxxxx317b8f; spec: /tmp/svcspec_a1hipoqq
Status : 0% Completed [Reset operation failed]
please see /var/log/vmware/vmcad/certificate-manager.log for more information.
root@xxxxc [ ~ ]#
- Løs STS-problemet
service-control --all --stop
- Start tjenester (Dette mislykkes, men det er forventet)
service-control --all --start
- Vent til prosessen blir tidsavbrutt, eller stopp den når den kommer til vmware-vmon-tjenesten
/usr/lib/vmware-vmca/bin/certificate-manager
- Velg alternativ 6 >: Erstatt løsningsbrukersertifikater med VMCA-sertifikater
- Bekrefte
"Do you wish to generate all certificates using configuration file : Option[Y/N] ?"
- Enter Credentials
- Avslå (angi "N") for å konfigurere på nytt, da alle alternativene er konfigurert ovenfor
"certool.cfg file exists, Do you wish to reconfigure : Option[Y/N] ?"
"You are going to regenerate Solution User Certificates using VMCA, Continue operation : Option[Y/N] ?"
- Vent til prosedyren avsluttes. Denne fremgangsmåten:
- Genererer alle sertifikater
- Stopper tjenestene
- Starter tjenestene
- Bekreft om alle tjenester kjører
service-control --all --status
- Løs sertifikater på VCSA
Stopp og start alle tjenester. Dette MÅ gjøres ETTER at alle PSC-tjenester kjører!
service-control --all --stop
service-control --all --start
- Vent til prosessen blir tidsavbrutt, eller stopp den når den kommer til vmware-vmon-tjenesten
/usr/lib/vmware-vmca/bin/certificate-manager
- Velg alternativ 8 > Tilbakestill alle sertifikater
- Start sertifikatbehandling
- Bekrefte
"Do you wish to generate all certificates using configuration file : Option[Y/N] ?"
- Skriv inn PSC-IP
- Skriv inn verdier
- La IP-adressefeltet stå tomt
- Skriv inn vertsnavn som FQDN for VCSA
- VMCA-navnefelt er navnet på den nye rotsertifiseringsinstansen som opprettes, for eksempel VxRail CA.
- Bekrefte
"Continue operation : Option[Y/N] ?"
"Continue operation : Option[Y/N] ?"
- Vent til alle sertifikatene er generert og en melding om vellykket fullføring vises
"Reset status : 100% Completed [Reset completed successfully]"
- Kontroller at alle tjenester kjører
service-control --all --status
- Få tilgang til vCenter-brukergrensesnittet
- Tilgang via DNS mislykkes i Chrome på grunn av HSTS. Åpne VCSA IP eller bruk en annen støttet nettleser, for eksempel Firefox.
For scenario 2, når vCenter-sertifikatet utløper om mindre enn 60 dager, følger du fremgangsmåten nedenfor for å fornye sertifikatet på forhånd for å unngå at VxRail Manager kobles fra vCenter.
- Logg på vCenter over SSH som rotbruker
- Start tjenester på nytt
"service-control --stop --all"
"service-control --start --all"
- Tilbakestill alle sertifikater
"/usr/lib/vmware-vmca/bin/certificate-manager"
- Velg alternativ 8 > Tilbakestill alle sertifikater
- Skriv inn vSphere-brukernavn og -passord
- Skriv inn sertifikategenskapene
- Bekreft operasjonen og forny deretter vCenter-roten eller -maskinen Sertifikatene er fornyet
![Bekreft at sertifikatene er fornyet](https://supportkb.dell.com/img/ka06P0000008vxFQAQ/ka06P0000008vxFQAQ_no_4.jpeg)
- Følg artikkelen Dell VxRail: Slik importerer du et vCenter SSL-sertifikat manuelt på VxRail Manager for å importere de oppdaterte vCenter- og CA-sertifikatene til VxRail Manager-klareringslageret.