Article Number: 000082108
Dell VxRail. Не удается войти в vCenter из-за истечения срока действия сертификатов
Summary: VxRail 4.5 и 4.7: Не удается войти в vCenter из-за истечения срока действия сертификатов. Сертификаты необходимо выпускать повторно. VxRail 7.0.480 или более поздней версии: Срок действия сертификата предупреждения истекает менее чем через 60 дней. Рекомендуется продлить сертификат заранее. ...
Article Content
Symptoms
Сценарий 1. Срок действия сертификата vCenter уже истек. (Для всех версий VxRail.)
- Не удается войти в пользовательский интерфейс vCenter.
- Любая попытка входа при доступном веб-интерфейсе завершается сбоем даже при наличии правильных учетных данных.
- Не удается перезапустить службы VCSA.
- Перезапуск служб приводит не ко всем службам.
Обнаруженные ошибки:
/var/log/vmware/vpxd-svcs/vpxd-svcs.log: 2020-06-03T09:31:04.523Z [pool-8-thread-1 INFO com.vmware.identity.token.impl.X509TrustChainKeySelector opId=905f6864-c067-4db6-828c-1d59c4b43bf8] Failed to find trusted path to signing certificate <CN=ssoserverSign> sun.security.provider.certpath.SunCertPathBuilderException: unable to find valid certification path to requested target at sun.security.provider.certpath.SunCertPathBuilder.build(SunCertPathBuilder.java:141)
Сценарий 2. Срок действия сертификата vCenter истекает менее чем через 60 дней. (Для VxRail 7.0.480 и более поздних версий)
- Вход в пользовательский интерфейс vCenter завершен, но в VxRail 7.0.480 и более поздних версий отображается предупреждение в кластере VxRail Настройка >> сертификата > VxRail >На странице «All Trust Store Certificates» указывается, что срок действия сертификата истекает менее чем через 60 дней.
Cause
Срок действия сертификатов vCenter истек или скоро истечет.
Версии VxRail, которые изначально были созданы до 4.7, могут иметь выданные сертификаты со сроком службы два года с даты установки. На момент написания этой статьи сборка VxRail 4.7.410 имеет все сертификаты со сроком службы 10 лет.
Обновления дополнительной версии не затрагивают сертификаты!
Для системы VxRail, которая изначально была создана на базе 4.5.210 и более поздних версий, срок действия сертификатов составляет два года. Для подтверждения подробного описания см. статью VMware Проверка истечения срока действия сертификата STS на серверах vCenter (79248).
Используйте функцию просмотра сертификата в браузере на странице входа в систему VCSA для подтверждения истечения срока действия сертификата или перечислите сертификаты в интерфейсе командной строки PSC VCSA с ошибкой из статьи VMware «Сертификат подписи недействителен» в VCSA 6.5.x,6.7.x или vCenter Server 7.0.x, 8.0.x. (76719)
Версии VxRail, которые изначально были созданы до 4.7, могут иметь выданные сертификаты со сроком службы два года с даты установки. На момент написания этой статьи сборка VxRail 4.7.410 имеет все сертификаты со сроком службы 10 лет.
Обновления дополнительной версии не затрагивают сертификаты!
Для системы VxRail, которая изначально была создана на базе 4.5.210 и более поздних версий, срок действия сертификатов составляет два года. Для подтверждения подробного описания см. статью VMware Проверка истечения срока действия сертификата STS на серверах vCenter (79248).
Используйте функцию просмотра сертификата в браузере на странице входа в систему VCSA для подтверждения истечения срока действия сертификата или перечислите сертификаты в интерфейсе командной строки PSC VCSA с ошибкой из статьи VMware «Сертификат подписи недействителен» в VCSA 6.5.x,6.7.x или vCenter Server 7.0.x, 8.0.x. (76719)
for i in $(/usr/lib/vmware-vmafd/bin/vecs-cli store list); do echo STORE $i; /usr/lib/vmware-vmafd/bin/vecs-cli entry list --store $i --text | egrep "Alias|Not After"; done
Resolution
В сценарии 1, когда срок действия сертификата vCenter уже истек, выполните следующую процедуру для создания новых самозаверяющих сертификатов в PSC и VCSA.
Примечание.: Эта процедура предназначена для одних виртуальных машин PSC или VCSA, которые обслуживаются с помощью VxRail LCM. Для HA, ELM или VC, развернутых заказчиком, откройте заявку VMware!
Примечание.: Делайте АВТОНОМНЫЕ снимки VRM, PSC и VCSA!
Примечание.: Убедитесь, что процесс создания снимка завершился без ошибок! НЕ продолжайте без действительных моментальных снимков!
Примечание.: Если возникли проблемы, не повторяйте попытку, не вернувшись к моментальным снимкам!
- Исправление PSC.
Сбросить все сертификаты (Это приведет к сбою, но это ожидаемо).
- Запуск диспетчера сертификатов.
/usr/lib/vmware-vmca/bin/certificate-manager
- Выберите вариант 8 > Сбросить все сертификаты
- Confirm
"Do you wish to generate all certificates using configuration file : Option[Y/N] ?"
- Ввод учетных данных
- Ввести значения
- Оставьте поле IPAddress пустым
- Введите имя хоста в виде полного доменного имени PSC
- Поле Имя VMCA — это имя нового создаваемого корневого центра сертификации, например источник сертификатов VxRail.
- Confirm
"Continue operation : Option[Y/N] ?"
- Confirm
"Continue operation : Option[Y/N] ?"
- Эта операция завершается ошибкой:
Get site nameCompleted [Reset Machine SSL Cert...]
g3node-site
Lookup all services
Get service xxxxxx-site:xxxxxxx-d202-4d8f-9282-xxxxxx317b8f
Update service xxxxxx-site:xxxxxxxx-d202-4d8f-9282-xxxxxx317b8f; spec: /tmp/svcspec_a1hipoqq
Status : 0% Completed [Reset operation failed]
please see /var/log/vmware/vmcad/certificate-manager.log for more information.
root@xxxxc [ ~ ]#
- Исправление проблемы STS
Скачайте и запустите сценарий из статьи об ошибке VMware «Сертификат подписи недействителен» в VCSA 6.5.x,6.7.x или vCenter Server 7.0.x, 8.0.x. (76719)
- Остановка служб
service-control --all --stop
- Запустите службы (Это не удается, но это ожидаемо)
service-control --all --start
- Дождитесь истечения времени ожидания процесса или остановите его, когда он попадет в службу vmware-vmon
/usr/lib/vmware-vmca/bin/certificate-manager
- Выберите вариант 6>. Заменить сертификаты пользователя решения сертификатами VMCA
- Confirm
"Do you wish to generate all certificates using configuration file : Option[Y/N] ?"
- Ввод учетных данных
- Отклонить (введите «N») для перенастройки, так как все параметры были настроены выше
"certool.cfg file exists, Do you wish to reconfigure : Option[Y/N] ?"
- Confirm
"You are going to regenerate Solution User Certificates using VMCA, Continue operation : Option[Y/N] ?"
- Дождитесь завершения процедуры. Следующая процедура:
- Создает все сертификаты
- Останавливает работу служб
- Запускает службы
- Убедитесь , что все службы запущены
service-control --all --status
- Исправление сертификатов в VCSA
Остановите и запустите все службы. Это НЕОБХОДИМО сделать ПОСЛЕ запуска всех служб PSC!
- Остановка
service-control --all --stop
- Запуск
service-control --all --start
- Дождитесь истечения времени ожидания процесса или остановите его, когда он попадет в службу vmware-vmon
/usr/lib/vmware-vmca/bin/certificate-manager
- Выберите вариант 8 > Сбросить все сертификаты
- Запуск диспетчера сертификатов
- Confirm
"Do you wish to generate all certificates using configuration file : Option[Y/N] ?"
- Ввод учетных данных
- Введите IP-адрес PSC
- Ввести значения
- Оставьте поле IPAddress пустым
- Введите имя хоста в качестве полного доменного имени VCSA
- Поле Имя VMCA — это имя нового создаваемого корневого центра сертификации, например источник сертификатов VxRail.
- Confirm
"Continue operation : Option[Y/N] ?"
- Confirm
"Continue operation : Option[Y/N] ?"
- Подождите, пока не будут созданы все сертификаты и не появится сообщение об успешном завершении
"Reset status : 100% Completed [Reset completed successfully]"
- Убедитесь, что все службы запущены
service-control --all --status
- Доступ к пользовательскому интерфейсу vCenter
- Сбой доступа по DNS в Chrome из-за HSTS. Откройте IP-адрес VCSA или используйте другой поддерживаемый браузер, например FireFox.
Для сценария 2, когда срок действия сертификата vCenter истекает менее чем через 60 дней, выполните приведенную ниже процедуру, чтобы продлить сертификат заранее, чтобы избежать отключения VxRail Manager от vCenter.
- Войдите в vCenter по протоколу SSH в качестве пользователя root
- Перезапуск служб
- Остановка бега
"service-control --stop --all"
- Запуск запуска
"service-control --start --all"
- Сбросить все сертификаты
- Выполните:
"/usr/lib/vmware-vmca/bin/certificate-manager"
- Выберите вариант 8 > Сбросить все сертификаты
- Введите имя пользователя и пароль vSphere
- Введите свойства сертификата
- Подтвердите операцию, после чего корневые сертификаты vCenter или сертификаты компьютера будут обновлены
- Подпишитесь на статью Dell VxRail. Импорт SSL-сертификата vCenter в VxRail Manager вручную для импорта обновленных сертификатов vCenter и CA в хранилище доверия VxRail Manager.
Additional Information
- ВСЕГДА создавайте моментальные снимки виртуальных машин системы (PSC, VCSA и VRM) перед продолжением работы с этой статьей.
- Эта процедура предназначена для виртуальных машин PSC VCSA, которые обслуживаются с помощью VxRail LCM.
- Если у пользователя есть сертификаты из собственной инфраструктуры, он может заменить их сейчас.
- После исправления для VxRail версии 4.7.100 и более поздних см. статью базы знаний Dell VxRail. Импорт SSL-сертификата vCenter в VxRail Manager вручную для импорта нового корневого сертификата в VRM (подключаемый модуль не работает).
Article Properties
Affected Product
VxRail Appliance Family, VxRail Appliance Series
Last Published Date
15 Mar 2024
Version
7
Article Type
Solution