Skip to main content
Sign Out

Welcome to Dell

My Account
  • Place orders quickly and easily
  • View orders and track your shipping status
  • Enjoy members-only rewards and discounts
  • Create and access a list of your products
  • Manage your Dell EMC sites, products, and product-level contacts using Company Administration.
Sign In Create an Account Dell Financial Services Premier Sign In Partner Program Sign In
Contact Us

Your Dell.com Carts

Article Number: 000082108

Dell VxRail: Kan ikke logge på vCenter på grunn av utløpte sertifikater

Summary: VxRail 4.5 og 4.7: Kan ikke logge på vCenter på grunn av utløpte sertifikater. Sertifikater må utstedes på nytt. VxRail 7.0.480 eller nyere: Advarselssertifikatet utløper om mindre enn 60 dager. Du anbefaler at du fornyer sertifikatet på forhånd. ...

This article may have been automatically translated. If you have any feedback regarding its quality, please let us know using the form at the bottom of this page.

Article Content

Symptoms

Scenario 1: vCenter-sertifikatet er allerede utløpt. (For alle VxRail-versjoner)

  • Kan ikke logge på vCenter-brukergrensesnittet.
  • Alle påloggingsforsøk når webgrensesnittet er tilgjengelig, mislykkes selv med riktig legitimasjon.
Påloggingen mislykkes når riktig legitimasjon angis
  • Omstart av VCSA-tjenester mislykkes.
  • Når tjenestene startes på nytt, hentes ikke alle tjenestene.
Feil observert:  
/var/log/vmware/vpxd-svcs/vpxd-svcs.log:
2020-06-03T09:31:04.523Z [pool-8-thread-1  INFO  com.vmware.identity.token.impl.X509TrustChainKeySelector  opId=905f6864-c067-4db6-828c-1d59c4b43bf8] Failed to find trusted path to signing certificate <CN=ssoserverSign>
sun.security.provider.certpath.SunCertPathBuilderException: unable to find valid certification path to requested target
        at sun.security.provider.certpath.SunCertPathBuilder.build(SunCertPathBuilder.java:141)


Scenario 2: vCenter-sertifikatet utløper om mindre enn 60 dager. (For VxRail 7.0.480 og nyere versjoner)

  • Logg på vCenter-brukergrensesnittet er fullført, men VxRail 7.0.480 og nyere versjoner viser en advarsel i VxRail-klynge > Konfigurer > VxRail-sertifikat >>Alle Trust Store-sertifikater-siden som sier at sertifikatet utløper om mindre enn 60 dager.
Det vises en advarsel om at sertifikatet utløper

Cause

vCenter-sertifikater er utløpt eller utløper snart.
VxRail-versjoner som opprinnelig ble bygget før 4.7, kan ha sertifikater utstedt med en levetid på to år fra installasjonsdatoen. I skrivende stund har en VxRail-build på 4.7.410 alle sertifikater med 10 års levetid.

Mindre versjonsoppgraderinger berører ikke sertifikatene!
For VxRail som opprinnelig ble bygget på 4.5.210 og senere versjoner, har sertifikatene en gyldighetsperiode på to år. Se VMware-artikkelen Kontrollere utløpsdatoen for STS-sertifikatet på vCenter-servere (79248) Denne hyperkoblingen tar deg til et nettsted utenfor Dell Technologies. for å bekrefte den detaljerte beskrivelsen.

Bruk visningssertifikatet i nettleseren på påloggingssiden for VCSA for å bekrefte at sertifikatet er utløpt, eller oppgi sertifikatene i CLI-en for PSC VCSA med kommandoen fra VMware-artikkelen «Signeringssertifikatet er ikke gyldig»-feilen i VCSA 6.5.x, 6.7.x eller vCenter Server 7.0.x, 8.0.x. (76719) Denne hyperkoblingen tar deg til et nettsted utenfor Dell Technologies. 
for i in $(/usr/lib/vmware-vmafd/bin/vecs-cli store list); do echo STORE $i; /usr/lib/vmware-vmafd/bin/vecs-cli entry list --store $i --text | egrep "Alias|Not After"; done

Resolution

For scenario 1, når vCenter-sertifikatet allerede er utløpt, følger du fremgangsmåten nedenfor for å generere nye selvsignerte sertifikater på PSC og VCSA.

 
Merk: Denne fremgangsmåten er beregnet for enkle virtuelle PSC- eller VCSA-maskiner som vedlikeholdes via VxRail LCM. For HA-, ELM- eller kundedistribuerte VC-er åpner du en VMware-billett!
 
Merk: Ta FRAKOBLEDE øyeblikksbilder av VRM, PSC og VCSA!
 
Merk: Sjekk om prosessen for oppretting av øyeblikksbilder er fullført uten feil! IKKE fortsett uten gyldige øyeblikksbilder!
 
Merk: Hvis det oppstår problemer, må du ikke prøve på nytt uten å gå tilbake til øyeblikksbilder!
 
  1. Reparer PSC:
Tilbakestill alle sertifikater (Dette mislykkes, men det er forventet.)
  • Start sertifikatbehandling:     
/usr/lib/vmware-vmca/bin/certificate-manager
  • Velg alternativ 8 > Tilbakestill alle sertifikater
    • Bekrefte
"Do you wish to generate all certificates using configuration file : Option[Y/N] ?"
  • Enter Credentials
Sertifikatbehandling – alternativ 8
  • Skriv inn verdier
    • La IP-adressefeltet stå tomt
    • Skriv inn vertsnavn som FQDN for PSC
    • VMCA-navnefelt er navnet på den nye rotsertifiseringsinstansen som opprettes, for eksempel VxRail CA.
  • Bekrefte
"Continue operation : Option[Y/N] ?"
  • Bekrefte
"Continue operation : Option[Y/N] ?"
  • Denne operasjonen mislykkes med:
Get site nameCompleted [Reset Machine SSL Cert...]
g3node-site
Lookup all services
Get service xxxxxx-site:xxxxxxx-d202-4d8f-9282-xxxxxx317b8f
Update service xxxxxx-site:xxxxxxxx-d202-4d8f-9282-xxxxxx317b8f; spec: /tmp/svcspec_a1hipoqq

Status : 0% Completed [Reset operation failed]

please see /var/log/vmware/vmcad/certificate-manager.log for more information.
root@xxxxc [ ~ ]#
 
Skjermbilde av feilmelding om feil
  1. Løs STS-problemet
 
Kjør skript fra VMware-artikkelen
  • Stopp tjenester
service-control --all --stop
  • Start tjenester (Dette mislykkes, men det er forventet)
service-control --all --start
Stopp og start tjenester
  • Vent til prosessen blir tidsavbrutt, eller stopp den når den kommer til vmware-vmon-tjenesten 
/usr/lib/vmware-vmca/bin/certificate-manager
  • Velg alternativ 6 >: Erstatt løsningsbrukersertifikater med VMCA-sertifikater
  • Bekrefte 
"Do you wish to generate all certificates using configuration file : Option[Y/N] ?"
  • Enter Credentials
  • Avslå (angi "N") for å konfigurere på nytt, da alle alternativene er konfigurert ovenfor
"certool.cfg file exists, Do you wish to reconfigure : Option[Y/N] ?"
  • Bekrefte
"You are going to regenerate Solution User Certificates using VMCA, Continue operation : Option[Y/N] ?"
  • Vent til prosedyren avsluttes. Denne fremgangsmåten:
    • Genererer alle sertifikater
    • Stopper tjenestene
    • Starter tjenestene
Generer sertifikat
  • Bekreft om alle tjenester kjører
service-control --all --status
Bekreft at tjenester kjører 
  1. Løs sertifikater på VCSA
Stopp og start alle tjenester. Dette gjøres ETTER at alle PSC-tjenester kjører!
  • Stopp
service-control --all --stop
  • Start
service-control --all --start
 
Stopp og start tjenester etter at PSC kjører
  • Vent til prosessen blir tidsavbrutt, eller stopp den når den kommer til vmware-vmon-tjenesten 
/usr/lib/vmware-vmca/bin/certificate-manager
  • Velg alternativ 8 > Tilbakestill alle sertifikater
  • Start sertifikatbehandling
  • Bekrefte
"Do you wish to generate all certificates using configuration file : Option[Y/N] ?"
  • Enter Credentials
Skriv inn legitimasjon, og velg alternativ 8
  • Skriv inn PSC-IP
  • Skriv inn verdier
    • La IP-adressefeltet stå tomt
    • Skriv inn vertsnavn som FQDN for VCSA
    • VMCA-navnefelt er navnet på den nye rotsertifiseringsinstansen som opprettes, for eksempel VxRail CA.
  • Bekrefte
"Continue operation : Option[Y/N] ?"
  • Bekrefte
"Continue operation : Option[Y/N] ?"
 
Angi verdier og bekreft at du fortsetter med operasjonen
  • Vent til alle sertifikatene er generert og en melding om vellykket fullføring vises
"Reset status : 100% Completed [Reset completed successfully]"
Meldingen Tilbakestilling er fullført
 
Meldingen Tilbakestilling er fullført
  • Kontroller at alle tjenester kjører
service-control --all --status
 
Bekreft at tjenester kjører
  • Få tilgang til vCenter-brukergrensesnittet
  • Tilgang via DNS mislykkes i Chrome på grunn av HSTS. Åpne VCSA IP eller bruk en annen støttet nettleser, for eksempel Firefox.
Chrome DNS-tilkobling ikke privat


IP-tilkoblingen for Chrome fortsetter


For scenario 2, når vCenter-sertifikatet utløper om mindre enn 60 dager, følger du fremgangsmåten nedenfor for å fornye sertifikatet på forhånd for å unngå at VxRail Manager kobles fra vCenter.

  1. Logg på vCenter over SSH som rotbruker
  2. Start tjenester på nytt
  • Kjør stopp
"service-control --stop --all"
  • Kjør Start
"service-control --start --all"
  1. Tilbakestill alle sertifikater
  • Kjør:
"/usr/lib/vmware-vmca/bin/certificate-manager"
  • Velg alternativ 8 > Tilbakestill alle sertifikater
Tilbakestill alle sertifikater (alternativ 8)
  • Skriv inn vSphere-brukernavn og -passord
Skriv inn vSphere-bruker og -passord
  • Skriv inn sertifikategenskapene
Angi sertifikategenskaper
  • Bekreft operasjonen og forny deretter vCenter-roten eller -maskinen Sertifikatene er fornyetBekreft at sertifikatene er fornyet
  1. Følg artikkelen Dell VxRail: Slik importerer du et vCenter SSL-sertifikat manuelt på VxRail Manager for å importere de oppdaterte vCenter- og CA-sertifikatene til VxRail Manager-klareringslageret.

Additional Information

  • Ta ALLTID øyeblikksbilder av virtuelle systemmaskiner (PSC, VCSA og VRM) før du følger denne artikkelen.
  • Denne fremgangsmåten er beregnet for virtuelle PSC VCSA-maskiner som vedlikeholdes via VxRail LCM.
  • Hvis brukeren har sertifikater fra sin egen infrastruktur, kan de erstatte dem nå.
  • Når du har fikset for VxRail-versjon 4.7.100 og nyere, følger du KB-artikkelen Dell VxRail: Slik importerer du vCenter SSL-sertifikat manuelt på VxRail Manager for å importere et nytt rotsertifikat til VRM (plugin fungerer ikke).

Article Properties

Affected Product

VxRail Appliance Family, VxRail Appliance Series

Last Published Date

15 Mar 2024

Version

7

Article Type

Solution

Back to Top