Skip to main content
Sign Out

Welcome to Dell

My Account
  • Place orders quickly and easily
  • View orders and track your shipping status
  • Enjoy members-only rewards and discounts
  • Create and access a list of your products
  • Manage your Dell EMC sites, products, and product-level contacts using Company Administration.
Sign In Create an Account Dell Financial Services Premier Sign In Partner Program Sign In
Contact Us

Your Dell.com Carts

Article Number: 000082108

Dell VxRail: Süresi dolan sertifikalar nedeniyle vCenter'da oturum açılamıyor

Summary: VxRail 4.5 ve 4.7: Süresi dolan sertifikalar nedeniyle vCenter'da oturum açılamıyor. Sertifikaların yeniden düzenlenmesi gerekir. VxRail 7.0.480 veya sonraki sürümler: Uyarı sertifikasının süresi 60 günden az sürecekse sertifikanın önceden yenilenmesini öneririz. ...

This article may have been automatically translated. If you have any feedback regarding its quality, please let us know using the form at the bottom of this page.

Article Content

Symptoms

1. Senaryo: vCenter sertifikasının süresi zaten doldu. (Tüm VxRail sürümleri için)

  • vCenter kullanıcı arayüzünde oturum açılamıyor.
  • Web kullanıcı arayüzü kullanılabilir durumdayken yapılan herhangi bir oturum açma girişimi, doğru kimlik bilgileriyle bile başarısız olur.
Doğru kimlik bilgileri girildiğinde oturum açılamıyor
  • VCSA hizmetlerinin yeniden başlatılması başarısız oluyor.
  • Hizmetlerin yeniden başlatılması tüm hizmetleri getirmez.
Gözlemlenen hatalar:  
/var/log/vmware/vpxd-svcs/vpxd-svcs.log:
2020-06-03T09:31:04.523Z [pool-8-thread-1  INFO  com.vmware.identity.token.impl.X509TrustChainKeySelector  opId=905f6864-c067-4db6-828c-1d59c4b43bf8] Failed to find trusted path to signing certificate <CN=ssoserverSign>
sun.security.provider.certpath.SunCertPathBuilderException: unable to find valid certification path to requested target
        at sun.security.provider.certpath.SunCertPathBuilder.build(SunCertPathBuilder.java:141)


2. Senaryo: vCenter sertifikasının süresi 60 günden kısa bir süre içinde dolar. (VxRail 7.0.480 ve üzeri sürümler için)

  • vCenter kullanıcı arayüzünde oturum açma işlemi tamamlandı ancak VxRail 7.0.480 ve sonraki sürümler, VxRail Cluster > VxRail >> Certificate All >Trust Store Certificates sayfasında sertifikanın süresinin 60 günden kısa bir süre içinde dolacağını belirten bir uyarı gösteriyor.
Sertifikanın süresinin dolacağını belirten bir uyarı mesajı görüntülenir

Cause

vCenter sertifikalarının süresi doldu veya yakında dolmak üzere.
Başlangıçta 4.7'den önce üretilen VxRail sürümleri, kurulum tarihinden itibaren iki yıllık kullanım ömrüne sahip sertifikalara sahip olabilir. Bu makalenin yazıldığı sırada, 4.7.410 üzerine kurulu bir VxRail, 10 yıllık kullanım ömrüne sahip tüm sertifikalara sahiptir.

İkincil sürüm yükseltmeleri sertifikalara dokunmaz!
Başlangıçta 4.5.210 ve sonraki sürümlerinde oluşturulan VxRail için sertifikaların iki yıllık bir geçerlilik süresi vardır. Ayrıntılı açıklamayı onaylamak için vCenter Sunucularında STS Sertifikasının Süresinin Dolduğunu Kontrol Etme (79248) Bu köprü bağlantı sizi Dell Technologies dışındaki bir web sitesine yönlendirir. başlıklı VMware makalesine bakın.

VCSA 6.5.x,6.7.x veya vCenter Server 7.0.x, 8.0.x'te "İmzalama sertifikası geçerli değil" hatası başlıklı VMware makalesindeki komutla PSC VCSA'nın CLI sinde sertifikaları listelemek için VCSA'nın oturum açma sayfasındaki tarayıcıda sertifikayı görüntüle'yi kullanın. (76719) Bu köprü bağlantı sizi Dell Technologies dışındaki bir web sitesine yönlendirir. 
for i in $(/usr/lib/vmware-vmafd/bin/vecs-cli store list); do echo STORE $i; /usr/lib/vmware-vmafd/bin/vecs-cli entry list --store $i --text | egrep "Alias|Not After"; done

Resolution

1. Senaryoda, vCenter sertifikasının süresi dolmuşsa PSC ve VCSA'da kendinden imzalı yeni sertifikalar oluşturmak için aşağıdaki prosedürü izleyin.

 
Not: Bu prosedür, VxRail LCM aracılığıyla bakımı yapılan tekli PSC veya VCSA VM'ler için tasarlanmıştır. HA, ELM veya Müşteri tarafından dağıtılan VC'ler için bir VMware bileti açın!
 
Not: VRM, PSC ve VCSA'nın ÇEVRİMDIŞI anlık görüntülerini alın!
 
Not: Anlık görüntü oluşturma işleminin hatasız tamamlanıp tamamlanmadığını kontrol edin! Geçerli anlık görüntüler olmadan devam ETMEYİN!
 
Not: Sorunlarla karşılaşılırsa, anlık görüntülere geri dönmeden yeniden denemeyin!
 
  1. PSC'yi Düzeltin:
Tüm Sertifikaları Sıfırla (Bu işlem başarısız olur ancak bu beklenen bir işlemdir.)
  • Sertifika Yöneticisini başlatın:     
/usr/lib/vmware-vmca/bin/certificate-manager
  • 8. Seçeneği belirleyin: Tüm sertifikaları sıfırla >
    • Confirm (Onayla)
"Do you wish to generate all certificates using configuration file : Option[Y/N] ?"
  • Kimlik Bilgilerini Girme
Sertifika Yöneticisi - Seçenek 8
  • Değerleri girin
    • IPAddress alanını boş bırakın
    • Ana bilgisayar adını PSC'nin FQDN'si olarak girin
    • VMCA Name alanı, oluşturulmakta olan yeni kök CA'nın adıdır, örneğin VxRail CA'sı.
  • Confirm (Onayla)
"Continue operation : Option[Y/N] ?"
  • Confirm (Onayla)
"Continue operation : Option[Y/N] ?"
  • Bu işlem aşağıdakilerle başarısız olur:
Get site nameCompleted [Reset Machine SSL Cert...]
g3node-site
Lookup all services
Get service xxxxxx-site:xxxxxxx-d202-4d8f-9282-xxxxxx317b8f
Update service xxxxxx-site:xxxxxxxx-d202-4d8f-9282-xxxxxx317b8f; spec: /tmp/svcspec_a1hipoqq

Status : 0% Completed [Reset operation failed]

please see /var/log/vmware/vmcad/certificate-manager.log for more information.
root@xxxxc [ ~ ]#
 
Başarısız mesajının ekran görüntüsü
  1. STS sorununu düzeltme
 
VMware makalesinden komut dosyası çalıştırma
  • Hizmetleri Durdurma
service-control --all --stop
  • Hizmetleri Başlatma (Bu işlem başarısız olur ancak beklenen bir işlemdir)
service-control --all --start
Hizmetleri durdurma ve başlatma
  • İşlemin zaman aşımına uğramasını veya vmware-vmon hizmetine geldiğinde durdurulmasını bekleyin
/usr/lib/vmware-vmca/bin/certificate-manager
  • 6. Seçeneği belirleyin: Çözüm kullanıcı sertifikalarını VMCA sertifikaları ile değiştirme >
  • Confirm (Onayla) 
"Do you wish to generate all certificates using configuration file : Option[Y/N] ?"
  • Kimlik Bilgilerini Girme
  • Tüm seçenekler yukarıda yapılandırıldığından yeniden yapılandırma için reddedin ("N" girin)
"certool.cfg file exists, Do you wish to reconfigure : Option[Y/N] ?"
  • Confirm (Onayla)
"You are going to regenerate Solution User Certificates using VMCA, Continue operation : Option[Y/N] ?"
  • Prosedürden çıkılana kadar bekleyin. Bu prosedür:
    • Tüm sertifikaları oluşturur
    • Hizmetleri durdurur
    • Hizmetleri başlatır
Sertifika oluştur
  • Tüm Hizmetlerin çalışıp çalışmadığını onaylayın 
service-control --all --status
Hizmetlerin çalıştığını onaylayın 
  1. VCSA da Sertifikaları Düzeltme
Tüm hizmetleri durdurun ve başlatın. Bu, tüm PSC hizmetleri çalıştıktan SONRA yapılmalıdır!
  • Durdur
service-control --all --stop
  • Başlat
service-control --all --start
 
PSC çalıştıktan sonra hizmetleri durdurma ve başlatma
  • İşlemin zaman aşımına uğramasını veya vmware-vmon hizmetine geldiğinde durdurulmasını bekleyin
/usr/lib/vmware-vmca/bin/certificate-manager
  • 8. Seçeneği belirleyin: Tüm sertifikaları sıfırla >
  • Sertifika Yöneticisini Başlat
  • Confirm (Onayla)
"Do you wish to generate all certificates using configuration file : Option[Y/N] ?"
  • Kimlik Bilgilerini Girme
Kimlik bilgilerini girin ve 8. seçeneği belirleyin
  • PSC IP'sini girin
  • Değerleri girin
    • IPAddress alanını boş bırakın
    • Ana bilgisayar adını VCSA'nın FQDN'si olarak girin
    • VMCA Name alanı, oluşturulmakta olan yeni kök CA'nın adıdır, örneğin VxRail CA'sı.
  • Confirm (Onayla)
"Continue operation : Option[Y/N] ?"
  • Confirm (Onayla)
"Continue operation : Option[Y/N] ?"
 
Değerleri girin ve işleme devam etmeyi onaylayın
  • Tüm sertifikalar oluşturulana ve işlemin başarıyla tamamlandığını belirten bir mesaj gösterilene kadar bekleyin
"Reset status : 100% Completed [Reset completed successfully]"
Sıfırlama başarıyla tamamlandı mesajı
 
Sıfırlama başarıyla tamamlandı mesajı devam ediyor
  • Tüm hizmetlerin çalışıp çalışmadığını kontrol edin
service-control --all --status
 
Hizmetlerin çalıştığını onaylayın
  • vCenter kullanıcı arayüzüne erişme
  • HSTS nedeniyle Chrome'da DNS ile erişim başarısız oluyor. VCSA IP'sini açın veya FireFox gibi desteklenen başka bir tarayıcı kullanın.
Chrome DNS bağlantısı gizli değil


Chrome IP Bağlantısı devam ediyor


2. Senaryoda, vCenter sertifikasının süresi 60 günden az bir süre içinde dolduğunda VxRail yöneticisinin vCenter ile bağlantısını kesmek için aşağıdaki prosedürü izleyerek sertifikayı önceden yenileyebilirsiniz.

  1. Kök kullanıcı olarak SSH üzerinden vCenter'da oturum açın
  2. Hizmetleri Yeniden Başlatma
  • Run Stop
"service-control --stop --all"
  • Çalıştır Başlat
"service-control --start --all"
  1. Tüm Sertifikaları Sıfırla
  • Şu komutu çalıştırın:
"/usr/lib/vmware-vmca/bin/certificate-manager"
  • 8. Seçeneği belirleyin: Tüm sertifikaları sıfırla >
Tüm sertifikaları sıfırlama (Seçenek 8)
  • vSphere kullanıcı adı ve parolasını girin
vSphere kullanıcı ve parolasını girin
  • Sertifika özelliklerini girin
Sertifika özelliklerini girme
  • İşlemi onaylayın, ardından vCenter kök veya makine Sertifikaları yenilenirSertifikaların yenilendiğini onaylayın
  1. Şu makaleyi takip edin: Dell VxRail: Güncellenmiş vCenter ve CA sertifikalarını VxRail Manager güven deposuna aktarmak için VxRail Manager'da manuel olarak vCenter SSL sertifikasını içe aktarma.

Additional Information

Article Properties

Affected Product

VxRail Appliance Family, VxRail Appliance Series

Last Published Date

15 Mar 2024

Version

7

Article Type

Solution

Back to Top