Skip to main content
Sign Out

Welcome to Dell

My Account
  • Place orders quickly and easily
  • View orders and track your shipping status
  • Enjoy members-only rewards and discounts
  • Create and access a list of your products
Sign In Create an Account Dell Financial Services Premier Sign In Partner Program Sign In
Contact Us

Your Dell.com Carts

Dell VxRail: Nie można zalogować się do vCenter z powodu wygaśnięcia certyfikatów

Summary: VxRail 4.5 i 4.7: Nie można zalogować się do vCenter z powodu wygaśnięcia certyfikatów. Certyfikaty muszą zostać ponownie wystawione. VxRail 7.0.480 lub nowsza: Certyfikat ostrzegawczy wygasa za mniej niż 60 dni, zalecamy wcześniejsze odnowienie certyfikatu. ...

This article applies to   This article does not apply to 
Check out resources for

Symptoms

Scenariusz 1: Certyfikat vCenter już wygasł. (Dotyczy wszystkich wersji VxRail)

  • Nie można zalogować się do interfejsu użytkownika vCenter.
  • Każda próba zalogowania, gdy dostępny jest sieciowy interfejs użytkownika, kończy się niepowodzeniem nawet przy użyciu poprawnych poświadczeń.
Logowanie kończy się niepowodzeniem po wprowadzeniu poprawnych poświadczeń
  • Ponowne uruchomienie usług VCSA kończy się niepowodzeniem.
  • Ponowne uruchomienie usług nie powoduje wyświetlenia wszystkich usług.
Wykryte błędy:  
/var/log/vmware/vpxd-svcs/vpxd-svcs.log:
2020-06-03T09:31:04.523Z [pool-8-thread-1  INFO  com.vmware.identity.token.impl.X509TrustChainKeySelector  opId=905f6864-c067-4db6-828c-1d59c4b43bf8] Failed to find trusted path to signing certificate <CN=ssoserverSign>
sun.security.provider.certpath.SunCertPathBuilderException: unable to find valid certification path to requested target
        at sun.security.provider.certpath.SunCertPathBuilder.build(SunCertPathBuilder.java:141)


Scenariusz 2: Certyfikat vCenter wygasa po mniej niż 60 dniach. (Dla VxRail 7.0.480 i nowszych wersji)

  • Logowanie do interfejsu użytkownika vCenter zostało zakończone, ale VxRail 7.0.480 i nowsze wersje wyświetlają ostrzeżenie w klastrze VxRail Strona > konfiguracji > certyfikatu > VxRail >Wszystkie certyfikaty magazynu zaufania z informacją, że certyfikat wygasa za mniej niż 60 dni.
Wyświetlono komunikat ostrzegawczy informujący o wygaśnięciu certyfikatu

Cause

Certyfikaty vCenter wygasły lub wkrótce wygasną.
Wersje VxRail, które zostały pierwotnie zbudowane przed wersją 4.7, mogą mieć certyfikaty z okresem ważności wynoszącym dwa lata od daty instalacji. W chwili pisania tego artykułu kompilacja VxRail w wersji 4.7.410 ma wszystkie certyfikaty z 10-letnim okresem eksploatacji.

Uaktualnienia wersji pomocniczych nie mają wpływu na certyfikaty!
W przypadku rozwiązania VxRail, które początkowo było oparte na wersji 4.5.210 i nowszych, certyfikaty mają dwuletni okres ważności. Zapoznaj się z artykułem VMware Sprawdzanie wygaśnięcia certyfikatu STS na serwerach vCenter Server (79248), Kliknięcie tego hiperłącza powoduje wyświetlenie strony spoza witryny Dell Technologies. aby potwierdzić szczegółowy opis.

Użyj opcji wyświetl certyfikat w przeglądarce na stronie logowania VCSA, aby potwierdzić, że certyfikat wygasł, lub wyświetl listę certyfikatów w interfejsie wiersza poleceń PSC VCSA z błędem z artykułu VMware "Signing certificate is invalid" w VCSA 6.5.x,6.7.x lub vCenter Server 7.0.x, 8.0.x. (76719) Kliknięcie tego hiperłącza powoduje wyświetlenie strony spoza witryny Dell Technologies. 
for i in $(/usr/lib/vmware-vmafd/bin/vecs-cli store list); do echo STORE $i; /usr/lib/vmware-vmafd/bin/vecs-cli entry list --store $i --text | egrep "Alias|Not After"; done

Resolution

W przypadku scenariusza 1, gdy certyfikat vCenter już wygasł, wykonaj poniższą procedurę, aby wygenerować nowe certyfikaty z podpisem własnym na PSC i VCSA.

 
Uwaga: Ta procedura jest przeznaczona dla pojedynczych maszyn wirtualnych PSC lub VCSA, które są utrzymywane przez VxRail LCM. W przypadku HA, ELM lub VC wdrożonych przez Klienta otwórz zgłoszenie VMware!
 
Uwaga: Rób migawki VRM, PSC i VCSA w trybie OFFLINE!
 
Uwaga: Sprawdź, czy proces tworzenia migawki zakończył się bez błędów! NIE kontynuuj bez prawidłowych migawek!
 
Uwaga: Jeśli wystąpią problemy, nie należy ponawiać próby bez powrotu do migawek!
 
  1. Poprawka PSC:
Zresetuj wszystkie certyfikaty (Nie powiedzie się, ale zgodnie z oczekiwaniami).
  • Uruchom menedżera certyfikatów:     
/usr/lib/vmware-vmca/bin/certificate-manager
  • Wybierz opcję 8 > Resetuj wszystkie certyfikaty
    • Zatwierdź
"Do you wish to generate all certificates using configuration file : Option[Y/N] ?"
  • Wprowadzanie poświadczeń
Certificate Manager — opcja 8
  • Wprowadź wartości
    • Pozostaw puste pole IPAddress
    • Wprowadź nazwę hosta jako FQDN PSC
    • Pole Nazwa VMCA to nazwa nowo tworzonego głównego urzędu certyfikacji, na przykład VxRail CA.
  • Zatwierdź
"Continue operation : Option[Y/N] ?"
  • Zatwierdź
"Continue operation : Option[Y/N] ?"
  • Ta operacja kończy się niepowodzeniem z następującymi informacjami:
Get site nameCompleted [Reset Machine SSL Cert...]
g3node-site
Lookup all services
Get service xxxxxx-site:xxxxxxx-d202-4d8f-9282-xxxxxx317b8f
Update service xxxxxx-site:xxxxxxxx-d202-4d8f-9282-xxxxxx317b8f; spec: /tmp/svcspec_a1hipoqq

Status : 0% Completed [Reset operation failed]

please see /var/log/vmware/vmcad/certificate-manager.log for more information.
root@xxxxc [ ~ ]#
 
Zrzut ekranu komunikatu o niepowodzeniu
  1. Rozwiąż problem z usługą STS
 
Uruchamianie skryptu z artykułu VMware
  • Zatrzymywanie usług
service-control --all --stop
  • Uruchom usługi (niepowodzenie, ale zgodnie z oczekiwaniami)
service-control --all --start
Zatrzymywanie i uruchamianie usług
  • Poczekaj, aż upłynie limit czasu procesu, lub zatrzymaj go, gdy dotrze do usługi vmware-vmon 
/usr/lib/vmware-vmca/bin/certificate-manager
  • Wybierz opcję 6 > Zastąp certyfikaty użytkowników rozwiązania certyfikatami VMCA
  • Zatwierdź 
"Do you wish to generate all certificates using configuration file : Option[Y/N] ?"
  • Wprowadzanie poświadczeń
  • Odmów (wpisz "N") przy ponownej konfiguracji, ponieważ wszystkie opcje zostały skonfigurowane powyżej
"certool.cfg file exists, Do you wish to reconfigure : Option[Y/N] ?"
  • Zatwierdź
"You are going to regenerate Solution User Certificates using VMCA, Continue operation : Option[Y/N] ?"
  • Poczekaj na zakończenie procedury. Ta procedura:
    • Generuje wszystkie certyfikaty.
    • Zatrzymuje usługi.
    • Uruchamia usługi.
Wygeneruj certyfikat
  • Potwierdź, czy wszystkie usługi są uruchomione
service-control --all --status
Potwierdź, że usługi są uruchomione 
  1. Napraw certyfikaty na VCSA
Zatrzymaj i uruchom wszystkie usługi. Należy to zrobić PO uruchomieniu wszystkich usług PSC!
  • Zatrzymanie
service-control --all --stop
  • Start
service-control --all --start
 
Zatrzymywanie i uruchamianie usług po uruchomieniu PSC
  • Poczekaj, aż upłynie limit czasu procesu, lub zatrzymaj go, gdy dotrze do usługi vmware-vmon 
/usr/lib/vmware-vmca/bin/certificate-manager
  • Wybierz opcję 8 > Resetuj wszystkie certyfikaty
  • Uruchom menedżera certyfikatów
  • Zatwierdź
"Do you wish to generate all certificates using configuration file : Option[Y/N] ?"
  • Wprowadzanie poświadczeń
Wprowadź poświadczenia i wybierz opcję 8
  • Wprowadź adres IP PSC
  • Wprowadź wartości
    • Pozostaw puste pole IPAddress
    • Wprowadź nazwę hosta jako FQDN VCSA
    • Pole Nazwa VMCA to nazwa nowo tworzonego głównego urzędu certyfikacji, na przykład VxRail CA.
  • Zatwierdź
"Continue operation : Option[Y/N] ?"
  • Zatwierdź
"Continue operation : Option[Y/N] ?"
 
Wprowadź wartości i potwierdź kontynuację operacji
  • Poczekaj, aż wszystkie certyfikaty zostaną wygenerowane i pojawi się komunikat o pomyślnym zakończeniu
"Reset status : 100% Completed [Reset completed successfully]"
Komunikat
 
Pomyślnie zakończono resetowanie, komunikat nadal
  • Sprawdź, czy wszystkie usługi są uruchomione
service-control --all --status
 
Potwierdź, że usługi są uruchomione
  • Dostęp do interfejsu użytkownika vCenter
  • Dostęp przez DNS nie powiedzie się w Chrome z powodu HSTS. Otwórz adres IP VCSA lub użyj innej obsługiwanej przeglądarki, takiej jak FireFox.
Połączenie DNS Chrome nie jest prywatne


Kontynuacja połączenia IP Chrome


W przypadku scenariusza 2, gdy certyfikat vCenter wygasa za mniej niż 60 dni, wykonaj poniższą procedurę, aby odnowić certyfikat z wyprzedzeniem, aby uniknąć rozłączenia VxRail Manager z vCenter.

  1. Zaloguj się do vCenter przez SSH jako użytkownik główny
  2. Uruchom ponownie usługi
  • Zatrzymaj bieg
"service-control --stop --all"
  • Rozpoczęcie biegu
"service-control --start --all"
  1. Resetowanie wszystkich certyfikatów
  • Uruchom:
"/usr/lib/vmware-vmca/bin/certificate-manager"
  • Wybierz opcję 8 > Resetuj wszystkie certyfikaty
Resetowanie wszystkich certyfikatów (opcja 8)
  • Wprowadź nazwę użytkownika i hasło vSphere
Wprowadź użytkownika i hasło vSphere
  • Wprowadź właściwości certyfikatu
Wprowadź właściwości certyfikatu
  • Potwierdź operację, a następnie odnowisz certyfikaty użytkownika głównego lub komputera vCenterPotwierdź, że certyfikaty zostały odnowione
  1. Śledź artykuł Dell VxRail: Ręczne importowanie certyfikatu SSL vCenter w programie VxRail Manager w celu zaimportowania zaktualizowanych certyfikatów vCenter i CA do magazynu zaufanych certyfikatów VxRail Manager.

Additional Information

  • ZAWSZE wykonuj migawki systemowych maszyn wirtualnych (PSC, VCSA i VRM) przed wykonaniem tego artykułu.
  • Ta procedura jest przeznaczona dla maszyn wirtualnych PSC VCSA, które są utrzymywane przez VxRail LCM.
  • Jeśli użytkownik posiada certyfikaty z własnej infrastruktury, może je teraz zastąpić.
  • Po naprawie dla VxRail w wersji 4.7.100 lub nowszej postępuj zgodnie z artykułem bazy wiedzy Dell VxRail: Ręczne importowanie certyfikatu SSL vCenter w programie VxRail Manager w celu zaimportowania nowego certyfikatu głównego do VRM (wtyczka nie działa).

Affected Products

VxRail Appliance Family, VxRail Appliance Series