Skip to main content
Sign Out

Welcome to Dell

My Account
  • Place orders quickly and easily
  • View orders and track your shipping status
  • Enjoy members-only rewards and discounts
  • Create and access a list of your products
  • Manage your Dell EMC sites, products, and product-level contacts using Company Administration.
Sign In Create an Account Dell Financial Services Premier Sign In Partner Program Sign In
Contact Us

Your Dell.com Carts

Article Number: 000082108

Dell VxRail: Não é possível fazer log-in no vCenter devido a certificados expirados

Summary: VxRail 4.5 e 4.7: Não é possível fazer log-in no vCenter devido a certificados expirados. Os certificados devem ser reemitidos. VxRail 7.0.480 ou posterior: O certificado de advertência vence em menos de 60 dias. Recomendo a renovação antecipada do certificado. ...

This article may have been automatically translated. If you have any feedback regarding its quality, please let us know using the form at the bottom of this page.

Article Content

Symptoms

Cenário 1: O certificado do vCenter já expirou. (Para todas as versões do VxRail)

  • Não foi possível fazer log-in na interface do usuário do vCenter.
  • Qualquer tentativa de log-in quando a IU da Web está disponível falha, mesmo com as credenciais corretas.
O login falha quando as credenciais corretas são inseridas
  • A reinicialização dos serviços do VCSA falha.
  • A reinicialização dos serviços não ativa todos os serviços.
Erros observados:  
/var/log/vmware/vpxd-svcs/vpxd-svcs.log:
2020-06-03T09:31:04.523Z [pool-8-thread-1  INFO  com.vmware.identity.token.impl.X509TrustChainKeySelector  opId=905f6864-c067-4db6-828c-1d59c4b43bf8] Failed to find trusted path to signing certificate <CN=ssoserverSign>
sun.security.provider.certpath.SunCertPathBuilderException: unable to find valid certification path to requested target
        at sun.security.provider.certpath.SunCertPathBuilder.build(SunCertPathBuilder.java:141)


Cenário 2: O certificado do vCenter expira em menos de 60 dias. (Para o VxRail 7.0.480 e versões posteriores)

  • O login na interface do usuário do vCenter foi concluído, mas o VxRail 7.0.480 e versões posteriores mostram um aviso na página Configure > VxRail >> Certificate >All Trust Store Certificates, informando que o certificado expira em menos de 60 dias.
Exibida uma mensagem de aviso informando que o certificado vai expirar

Cause

Os certificados do vCenter expiram ou expiram em breve.
As versões do VxRail que foram criadas inicialmente antes da 4.7 podem ter certificados emitidos com uma vida útil de dois anos a partir da data de instalação. No momento em que este artigo foi escrito, uma compilação do VxRail na versão 4.7.410 tem todos os certificados com uma vida útil de 10 anos.

Atualizações secundárias de versão não afetam os certificados!
Para um VxRail que foi inicialmente criado na versão 4.5.210 e versões posteriores, os certificados têm um período de validade de dois anos. Consulte o artigo da VMware Checking Expiration of STS Certificate on vCenter Servers (79248) Esse hiperlink direcionará você para um site fora da Dell Technologies. para confirmar a descrição detalhada.

Use o recurso de exibição do certificado no navegador da página de log-in do VCSA para confirmar se o certificado expirou ou liste os certificados na CLI do VCSA do PSC com o comando do artigo da VMware Erro "Assinar certificado não é válido" no VCSA 6.5.x,6.7.x ou vCenter Server 7.0.x, 8.0.x. (76719) Esse hiperlink direcionará você para um site fora da Dell Technologies. 
for i in $(/usr/lib/vmware-vmafd/bin/vecs-cli store list); do echo STORE $i; /usr/lib/vmware-vmafd/bin/vecs-cli entry list --store $i --text | egrep "Alias|Not After"; done

Resolution

Para o cenário 1, quando o certificado do vCenter já tiver expirado, siga o procedimento abaixo para gerar novos certificados autoassinados no PSC e no VCSA.

 
Nota: Este procedimento destina-se a VMs únicas do PSC ou do VCSA que são mantidas por meio do LCM do VxRail. Para HA, ELM ou VCs implementados pelo cliente, abra um tíquete da VMware!
 
Nota: Faça snapshots OFFLINE do VRM, PSC e VCSA!
 
Nota: Verifique se o processo de criação de snapshots foi concluído sem erros! NÃO continue sem snapshots válidos!
 
Nota: Se forem encontrados problemas, não repita sem reverter para snapshots!
 
  1. Corrigir o PSC:
Redefinir todos os certificados (Isso falha, mas é esperado.)
  • Inicie o Gerenciador de certificados:     
/usr/lib/vmware-vmca/bin/certificate-manager
  • Selecione a opção 8 > Redefinir todos os certificados
    • Confirm
"Do you wish to generate all certificates using configuration file : Option[Y/N] ?"
  • Insira as credenciais
Gerenciador de certificados — Opção 8
  • Inserir valores
    • Deixe o campo IPAddress vazio
    • Digite o nome de host como FQDN do PSC
    • O campo VMCA Name é o nome da nova CA raiz que está sendo criada, por exemplo, a CA do VxRail.
  • Confirm
"Continue operation : Option[Y/N] ?"
  • Confirm
"Continue operation : Option[Y/N] ?"
  • Falha nessa operação com:
Get site nameCompleted [Reset Machine SSL Cert...]
g3node-site
Lookup all services
Get service xxxxxx-site:xxxxxxx-d202-4d8f-9282-xxxxxx317b8f
Update service xxxxxx-site:xxxxxxxx-d202-4d8f-9282-xxxxxx317b8f; spec: /tmp/svcspec_a1hipoqq

Status : 0% Completed [Reset operation failed]

please see /var/log/vmware/vmcad/certificate-manager.log for more information.
root@xxxxc [ ~ ]#
 
Captura de tela da mensagem de falha
  1. Correção do problema do STS
 
Execute o script do artigo da VMware
  • Interromper serviços
service-control --all --stop
  • Iniciar serviços (isso falha, mas é esperado)
service-control --all --start
Parar e iniciar serviços
  • Aguarde até que o processo atinja o tempo limite ou o interrompa quando chegar ao serviço vmware-vmon 
/usr/lib/vmware-vmca/bin/certificate-manager
  • Selecione a opção 6 > Substituir certificados de usuário da solução por certificados VMCA
  • Confirm 
"Do you wish to generate all certificates using configuration file : Option[Y/N] ?"
  • Insira as credenciais
  • Negar (digite "N") para reconfigurar, pois todas as opções foram configuradas acima
"certool.cfg file exists, Do you wish to reconfigure : Option[Y/N] ?"
  • Confirm
"You are going to regenerate Solution User Certificates using VMCA, Continue operation : Option[Y/N] ?"
  • Aguarde até que o procedimento seja encerrado. Este procedimento:
    • Gera todos os certificados
    • Interrompe os serviços
    • Inicia os serviços
Gerar certificado
  • Confirme se todos os serviços estão em execução
service-control --all --status
Confirmar se os serviços estão em execução 
  1. Corrigir certificados no VCSA
Interrompa e inicie todos os serviços. Isso DEVE ser feito DEPOIS que todos os serviços do PSC estiverem em execução!
  • Parar
service-control --all --stop
  • Iniciar
service-control --all --start
 
Interrompa e inicie os serviços após a execução do PSC
  • Aguarde até que o processo atinja o tempo limite ou o interrompa quando chegar ao serviço vmware-vmon 
/usr/lib/vmware-vmca/bin/certificate-manager
  • Selecione a opção 8 > Redefinir todos os certificados
  • Iniciar o Gerenciador de certificados
  • Confirm
"Do you wish to generate all certificates using configuration file : Option[Y/N] ?"
  • Insira as credenciais
Digite as credenciais e selecione a Opção 8
  • Digite PSC IP
  • Inserir valores
    • Deixe o campo IPAddress vazio
    • Digite o nome de host como FQDN do VCSA
    • O campo VMCA Name é o nome da nova CA raiz que está sendo criada, por exemplo, a CA do VxRail.
  • Confirm
"Continue operation : Option[Y/N] ?"
  • Confirm
"Continue operation : Option[Y/N] ?"
 
Digite os valores e confirme a continuação da operação
  • Aguarde até que todos os certificados sejam gerados e uma mensagem de conclusão bem-sucedida seja exibida
"Reset status : 100% Completed [Reset completed successfully]"
Mensagem de redefinição concluída com sucesso
 
A mensagem Redefinição foi concluída com sucesso (continuação)
  • Verifique se todos os serviços estão em execução
service-control --all --status
 
Confirmar se os serviços estão em execução
  • Acessar a interface do usuário do vCenter
  • O acesso por DNS falha no Chrome devido ao HSTS. Abra o IP do VCSA ou use outro navegador compatível, como o FireFox.
A conexão DNS do Chrome não é privada


Prossiga com a conexão IP do Chrome


Para o cenário 2, quando o certificado do vCenter expirar em menos de 60 dias, siga o procedimento abaixo para renovar o certificado com antecedência, a fim de evitar que o VxRail Manager se desconecte do vCenter.

  1. Faça log-in no vCenter via SSH como usuário root
  2. Reiniciar serviços
  • Executar Stop
"service-control --stop --all"
  • Executar Início
"service-control --start --all"
  1. Redefinir todos os certificados
  • Execute:
"/usr/lib/vmware-vmca/bin/certificate-manager"
  • Selecione a opção 8 > Redefinir todos os certificados
Redefinir todos os certificados (opção 8)
  • Insira o nome de usuário e a senha do vSphere
Digite o usuário e a senha do vSphere
  • Insira as propriedades do certificado
Inserir propriedades do certificado
  • Confirme a operação e, em seguida, os certificados da raiz ou da máquina do vCenter serão renovadosConfirmar se os certificados foram renovados
  1. Siga o artigo Dell VxRail: Como importar manualmente o certificado SSL do vCenter no VxRail Manager para importar os certificados atualizados do vCenter e da CA para o armazenamento confiável do VxRail Manager.

Additional Information

  • SEMPRE faça snapshots de VMs do sistema (PSC, VCSA e VRM) antes de seguir este artigo.
  • Este procedimento destina-se a VMs do PSC VCSA que são mantidas por meio do LCM do VxRail.
  • Se o usuário tiver certificados de sua própria infraestrutura, ele poderá substituí-los agora.
  • Após a correção do VxRail versão 4.7.100 e posterior, siga o artigo da base de conhecimento Dell VxRail: Como importar manualmente o certificado SSL do vCenter no VxRail Manager para importar um novo certificado raiz para o VRM (o plug-in não funciona).

Article Properties

Affected Product

VxRail Appliance Family, VxRail Appliance Series

Last Published Date

15 Mar 2024

Version

7

Article Type

Solution

Back to Top