Article Number: 000082108
Dell VxRail: No se puede iniciar sesión en vCenter debido a certificados vencidos
Summary: VxRail 4.5 y 4.7: No se puede iniciar sesión en vCenter debido a certificados vencidos. Los certificados se deben volver a emitir. VxRail 7.0.480 o superior: Advertencia: el certificado vence en menos de 60 días; se recomienda renovarlo por adelantado. ...
Article Content
Symptoms
Situación 1: El certificado de vCenter ya está vencido. (Para todas las versiones de VxRail)
- No se puede iniciar sesión en la interfaz de usuario de vCenter.
- Cualquier intento de inicio de sesión cuando la interfaz de usuario web está disponible falla incluso con las credenciales correctas.
- Se produce un error al reiniciar los servicios de VCSA.
- El reinicio de los servicios no abre todos los servicios.
Errores observados:
/var/log/vmware/vpxd-svcs/vpxd-svcs.log: 2020-06-03T09:31:04.523Z [pool-8-thread-1 INFO com.vmware.identity.token.impl.X509TrustChainKeySelector opId=905f6864-c067-4db6-828c-1d59c4b43bf8] Failed to find trusted path to signing certificate <CN=ssoserverSign> sun.security.provider.certpath.SunCertPathBuilderException: unable to find valid certification path to requested target at sun.security.provider.certpath.SunCertPathBuilder.build(SunCertPathBuilder.java:141)
Situación 2: El certificado de vCenter vence en menos de 60 días. (Para VxRail 7.0.480 y versiones superiores)
- Se completó el inicio de sesión en la interfaz de usuario de vCenter, pero en VxRail 7.0.480 y versiones posteriores, se muestra una advertencia en la página VxRail Cluster > Configure > VxRail > Certificate >All Trust Store Certificates que indica que el certificado vence en menos de 60 días.
Cause
Los certificados de vCenter vencieron o vencen pronto.
Las versiones de VxRail que se crearon inicialmente antes de 4.7 pueden tener certificados emitidos con una vida útil de dos años a partir de la fecha de instalación. En el momento de escribir este artículo, una compilación de VxRail en 4.7.410 tiene todos los certificados con una vida útil de 10 años.
Las actualizaciones de versiones secundarias no tocan los certificados.
Para un VxRail que se creó inicialmente en 4.5.210 y versiones posteriores, los certificados tienen un período de validez de dos años. Consulte el artículo de VMware Comprobación del vencimiento del certificado STS en vCenter Servers (79248)
para confirmar la descripción detallada.
Utilice el certificado de vista en el navegador de la página de inicio de sesión de VCSA para confirmar que el certificado venció o enumere los certificados en la CLI de VCSA de PSC con el comando del error " El certificado de firma no es válido" del artículo de VMware en VCSA 6.5.x, 6.7.x o vCenter Server 7.0.x, 8.0.x. (76719)
Las versiones de VxRail que se crearon inicialmente antes de 4.7 pueden tener certificados emitidos con una vida útil de dos años a partir de la fecha de instalación. En el momento de escribir este artículo, una compilación de VxRail en 4.7.410 tiene todos los certificados con una vida útil de 10 años.
Las actualizaciones de versiones secundarias no tocan los certificados.
Para un VxRail que se creó inicialmente en 4.5.210 y versiones posteriores, los certificados tienen un período de validez de dos años. Consulte el artículo de VMware Comprobación del vencimiento del certificado STS en vCenter Servers (79248)
para confirmar la descripción detallada.
Utilice el certificado de vista en el navegador de la página de inicio de sesión de VCSA para confirmar que el certificado venció o enumere los certificados en la CLI de VCSA de PSC con el comando del error " El certificado de firma no es válido" del artículo de VMware en VCSA 6.5.x, 6.7.x o vCenter Server 7.0.x, 8.0.x. (76719)
for i in $(/usr/lib/vmware-vmafd/bin/vecs-cli store list); do echo STORE $i; /usr/lib/vmware-vmafd/bin/vecs-cli entry list --store $i --text | egrep "Alias|Not After"; done
Resolution
Para la situación 1, cuando el certificado de vCenter ya venció, siga el procedimiento que se indica a continuación para generar nuevos certificados autofirmados en PSC y VCSA.
Nota: Este procedimiento está diseñado para VM de PSC o VCSA únicas que se mantienen a través de la LCM de VxRail. Para HA, ELM o VC implementados por el cliente, abra un ticket de VMware.
Nota: ¡Tome instantáneas OFFLINE de VRM, PSC y VCSA!
Nota: Compruebe si el proceso de creación de instantáneas finalizó sin errores. ¡NO continúe sin instantáneas válidas!
Nota: Si se encuentran problemas, no vuelva a intentarlo sin volver a las instantáneas.
- Corrija PSC:
Restablecer todos los certificados (esto falla, pero es esperado).
- Inicie el Administrador de certificados:
/usr/lib/vmware-vmca/bin/certificate-manager
- Seleccione la opción 8 > Reset all certificates
- Confirmar
"Do you wish to generate all certificates using configuration file : Option[Y/N] ?"
- Ingresar credenciales
- Ingresar valores
- Deje el campo IPAddress vacío
- Ingrese el nombre de host como FQDN de PSC
- El campo VMCA Name es el nombre de la nueva CA raíz que se crea, por ejemplo, VxRail CA.
- Confirmar
"Continue operation : Option[Y/N] ?"
- Confirmar
"Continue operation : Option[Y/N] ?"
- Esta operación falla con lo siguiente:
Get site nameCompleted [Reset Machine SSL Cert...]
g3node-site
Lookup all services
Get service xxxxxx-site:xxxxxxx-d202-4d8f-9282-xxxxxx317b8f
Update service xxxxxx-site:xxxxxxxx-d202-4d8f-9282-xxxxxx317b8f; spec: /tmp/svcspec_a1hipoqq
Status : 0% Completed [Reset operation failed]
please see /var/log/vmware/vmcad/certificate-manager.log for more information.
root@xxxxc [ ~ ]#
- Solucione el problema de STS
Descargue y ejecute el script del artículo de VMware "Error de firma de certificado no válido" en VCSA 6.5.x, 6.7.x o vCenter Server 7.0.x, 8.0.x. (76719)
- Detener los servicios
service-control --all --stop
- Iniciar servicios (esto falla, pero es esperado)
service-control --all --start
- Espere a que se agote el tiempo de espera del proceso o deténgalo cuando llegue al servicio vmware-vmon
/usr/lib/vmware-vmca/bin/certificate-manager
- Seleccione la opción 6 > Reemplazar los certificados de usuario de la solución por certificados de VMCA
- Confirmar
"Do you wish to generate all certificates using configuration file : Option[Y/N] ?"
- Ingresar credenciales
- Denegar (ingrese "N") para volver a configurar, ya que todas las opciones se configuraron anteriormente
"certool.cfg file exists, Do you wish to reconfigure : Option[Y/N] ?"
- Confirmar
"You are going to regenerate Solution User Certificates using VMCA, Continue operation : Option[Y/N] ?"
- Espere hasta que finalice el procedimiento. Este procedimiento realiza lo siguiente:
- Genera todos los certificados
- Detiene los servicios
- Inicia los servicios
- Confirme si todos los servicios están en ejecución
service-control --all --status
- Corregir certificados en VCSA
Detenga e inicie todos los servicios. Esto DEBE realizarse DESPUÉS de que se ejecuten todos los servicios de PSC.
- Detener
service-control --all --stop
- Inicio
service-control --all --start
- Espere a que se agote el tiempo de espera del proceso o deténgalo cuando llegue al servicio vmware-vmon
/usr/lib/vmware-vmca/bin/certificate-manager
- Seleccione la opción 8 > Reset all certificates
- Iniciar el Administrador de certificados
- Confirmar
"Do you wish to generate all certificates using configuration file : Option[Y/N] ?"
- Ingresar credenciales
- Ingrese la IP de PSC
- Ingresar valores
- Deje el campo IPAddress vacío
- Ingrese el nombre de host como FQDN de VCSA
- El campo VMCA Name es el nombre de la nueva CA raíz que se crea, por ejemplo, VxRail CA.
- Confirmar
"Continue operation : Option[Y/N] ?"
- Confirmar
"Continue operation : Option[Y/N] ?"
- Espere hasta que se generen todos los certificados y aparezca un mensaje de finalización correcta
"Reset status : 100% Completed [Reset completed successfully]"
- Compruebe que todos los servicios estén en ejecución
service-control --all --status
- Acceder a la interfaz de usuario de vCenter
- El acceso mediante DNS falla en Chrome debido a HSTS. Abra la IP de VCSA o utilice otro navegador compatible, como FireFox.
En el caso 2, cuando el certificado de vCenter venza en menos de 60 días, siga el procedimiento que se indica a continuación para renovar el certificado con anticipación a fin de evitar que VxRail Manager se desconecte de vCenter.
- Inicie sesión en vCenter a través de SSH como usuario raíz
- Reiniciar servicios
- Ejecutar detención
"service-control --stop --all"
- Ejecutar inicio
"service-control --start --all"
- Restablecer todos los certificados
- Ejecute lo siguiente:
"/usr/lib/vmware-vmca/bin/certificate-manager"
- Seleccione la opción 8 > Reset all certificates
- Ingrese el nombre de usuario y la contraseña de vSphere
- Ingrese las propiedades del certificado
- Confirme la operación y, a continuación, se renuevan los certificados de máquina o raíz de vCenter
- Siga el artículo Dell VxRail: Cómo importar manualmente el certificado SSL de vCenter en VxRail Manager para importar los certificados de vCenter y CA actualizados al almacén de confianza de VxRail Manager.
Additional Information
- SIEMPRE tome instantáneas de las VM del sistema (PSC, VCSA y VRM) antes de seguir este artículo.
- Este procedimiento está diseñado para las VM de PSC VCSA que se mantienen a través de la LCM de VxRail.
- Si el usuario tiene certificados de su propia infraestructura, ahora puede reemplazarlos.
- Después de la corrección para VxRail versión 4.7.100 y posteriores, siga el artículo de la base de conocimientos Dell VxRail: Cómo importar manualmente el certificado SSL de vCenter en VxRail Manager para importar un nuevo certificado raíz a VRM (el plug-in no funciona).
Article Properties
Affected Product
VxRail Appliance Family, VxRail Appliance Series
Last Published Date
15 Mar 2024
Version
7
Article Type
Solution