Skip to main content
Sign Out

Welcome to Dell

My Account
  • Place orders quickly and easily
  • View orders and track your shipping status
  • Enjoy members-only rewards and discounts
  • Create and access a list of your products
  • Manage your Dell EMC sites, products, and product-level contacts using Company Administration.
Sign In Create an Account Dell Financial Services Premier Sign In Partner Program Sign In
Contact Us

Your Dell.com Carts

Article Number: 000082108

Dell VxRail : Impossible de se connecter à vCenter en raison de certificats expirés

Summary: VxRail 4.5 et 4.7 : Impossible de se connecter à vCenter en raison de certificats expirés. Les certificats doivent être réémis. VxRail 7.0.480 ou version supérieure : Avertissement : le certificat expire dans moins de 60 jours, il est recommandé de renouveler le certificat à l’avance. ...

This article may have been automatically translated. If you have any feedback regarding its quality, please let us know using the form at the bottom of this page.

Article Content

Symptoms

Scénario 1 : Le certificat vCenter a déjà expiré. (Pour toutes les versions de VxRail)

  • Impossible de se connecter à l’interface utilisateur vCenter.
  • Toute tentative de connexion lorsque l’interface utilisateur Web est disponible échoue, même avec des informations d’identification correctes.
La connexion échoue lorsque des informations d’identification correctes sont saisies
  • Le redémarrage des services VCSA échoue.
  • Le redémarrage des services n’entraîne pas l’activation de tous les services.
Erreurs observées :  
/var/log/vmware/vpxd-svcs/vpxd-svcs.log:
2020-06-03T09:31:04.523Z [pool-8-thread-1  INFO  com.vmware.identity.token.impl.X509TrustChainKeySelector  opId=905f6864-c067-4db6-828c-1d59c4b43bf8] Failed to find trusted path to signing certificate <CN=ssoserverSign>
sun.security.provider.certpath.SunCertPathBuilderException: unable to find valid certification path to requested target
        at sun.security.provider.certpath.SunCertPathBuilder.build(SunCertPathBuilder.java:141)


Scénario 2 : Le certificat vCenter expire dans moins de 60 jours. (Pour VxRail 7.0.480 et versions supérieures)

  • La connexion à l’interface utilisateur de vCenter est terminée, mais VxRail 7.0.480 et les versions supérieures affichent un avertissement dans VxRail Cluster > Configurer > le certificat VxRail > La > page Tous les certificats du magasin de confiance indique que le certificat expire dans moins de 60 jours.
Affichage d’un message d’avertissement indiquant que le certificat va expirer

Cause

Les certificats vCenter ont expiré ou expirent bientôt.
Les versions VxRail initialement construites avant la version 4.7 peuvent avoir des certificats délivrés avec une durée de vie de deux ans à compter de la date d’installation. Au moment de la rédaction de cet article, un VxRail construit sur la version 4.7.410 dispose de tous les certificats avec une durée de vie de 10 ans.

Les mises à niveau de version mineures ne touchent pas les certificats.
Pour un VxRail initialement construit sur 4.5.210 et versions ultérieures, les certificats ont une période de validité de deux ans. Consultez l’article VMware Vérification de l’expiration du certificat STS sur les serveurs vCenter Server (79248) Ce lien hypertexte renvoie à un site Web extérieur à Dell Technologies. pour confirmer la description détaillée.

Utilisez l’affichage du certificat dans le navigateur de la page de connexion de VCSA pour confirmer que le certificat a expiré ou répertoriez les certificats dans la CLI de la PSC VCSA avec la commande de l’article VMware « La signature du certificat n’est pas valide » dans VCSA 6.5.x, 6.7.x ou vCenter Server 7.0.x, 8.0.x. (76719) Ce lien hypertexte renvoie à un site Web extérieur à Dell Technologies. 
for i in $(/usr/lib/vmware-vmafd/bin/vecs-cli store list); do echo STORE $i; /usr/lib/vmware-vmafd/bin/vecs-cli entry list --store $i --text | egrep "Alias|Not After"; done

Resolution

Pour le scénario 1, lorsque le certificat vCenter a déjà expiré, suivez la procédure ci-dessous pour générer de nouveaux certificats auto-signés sur PSC et VCSA.

 
Remarque : Cette procédure est destinée aux machines virtuelles PSC ou VCSA uniques qui sont gérées via VxRail LCM. Pour les VC déployées par le client, HA, ELM ou déployées par le client, ouvrez un ticket VMware.
 
Remarque : Prenez des snapshots hors ligne de VRM, PSC et VCSA !
 
Remarque : vérifiez si le processus de création de snapshots s’est terminé sans erreurs. Ne continuez PAS sans snapshots valides.
 
Remarque : Si vous rencontrez des problèmes, ne réessayez pas sans revenir aux snapshots !
 
  1. Corrigez le PSC :
Réinitialiser tous les certificats (Cette opération échoue, mais c’est normal.)
  • Démarrez le gestionnaire de certificats :     
/usr/lib/vmware-vmca/bin/certificate-manager
  • Sélectionnez l’option 8 > Réinitialiser tous les certificats
    • Confirmer
"Do you wish to generate all certificates using configuration file : Option[Y/N] ?"
  • Saisie des informations d’identification
Gestionnaire de certificats - Option 8
  • Saisir des valeurs
    • Laissez le champ IPAddress vide
    • Saisir le nom d’hôte comme FQDN du PSC
    • Le champ Nom VMCA est le nom de la nouvelle autorité de certification racine en cours de création, par exemple, l’autorité de certification VxRail.
  • Confirmer
"Continue operation : Option[Y/N] ?"
  • Confirmer
"Continue operation : Option[Y/N] ?"
  • Cette opération échoue avec :
Get site nameCompleted [Reset Machine SSL Cert...]
g3node-site
Lookup all services
Get service xxxxxx-site:xxxxxxx-d202-4d8f-9282-xxxxxx317b8f
Update service xxxxxx-site:xxxxxxxx-d202-4d8f-9282-xxxxxx317b8f; spec: /tmp/svcspec_a1hipoqq

Status : 0% Completed [Reset operation failed]

please see /var/log/vmware/vmcad/certificate-manager.log for more information.
root@xxxxc [ ~ ]#
 
Capture d’écran du message d’échec
  1. Corrigez le problème STS
 
Exécuter le script à partir de l’article VMware
  • Arrêter les services
service-control --all --stop
  • Démarrer les services (cela échoue, mais c’est normal)
service-control --all --start
Arrêt et démarrage des services
  • Attendez que le processus expire ou arrêtez-le lorsqu’il arrive au service vmware-vmon 
/usr/lib/vmware-vmca/bin/certificate-manager
  • Sélectionnez l’option 6 > Remplacer les certificats utilisateur de la solution par des certificats VMCA
  • Confirmer 
"Do you wish to generate all certificates using configuration file : Option[Y/N] ?"
  • Saisie des informations d’identification
  • Refuser (saisissez « N ») pour la reconfiguration, car toutes les options ont été configurées ci-dessus
"certool.cfg file exists, Do you wish to reconfigure : Option[Y/N] ?"
  • Confirmer
"You are going to regenerate Solution User Certificates using VMCA, Continue operation : Option[Y/N] ?"
  • Patientez jusqu’à ce que la procédure se ferme. Cette procédure :
    • Génère tous les certificats
    • Arrête les services
    • Démarre les services
Générer un certificat
  • Vérifiez si tous les services sont en cours d’exécution
service-control --all --status
Confirmer que les services sont en cours d’exécution 
  1. Corriger les certificats sur VCSA
Arrêtez et démarrez tous les services. Cette opération DOIT être effectuée UNE FOIS que tous les services PSC sont en cours d’exécution.
  • Arrêter
service-control --all --stop
  • Commencer
service-control --all --start
 
Arrêt et démarrage des services après l’exécution de PSC
  • Attendez que le processus expire ou arrêtez-le lorsqu’il arrive au service vmware-vmon 
/usr/lib/vmware-vmca/bin/certificate-manager
  • Sélectionnez l’option 8 > Réinitialiser tous les certificats
  • Démarrer le Gestionnaire de certificats
  • Confirmer
"Do you wish to generate all certificates using configuration file : Option[Y/N] ?"
  • Saisie des informations d’identification
Saisissez les informations d’identification et sélectionnez l’option 8
  • Saisissez l’adresse IP du PSC.
  • Saisir des valeurs
    • Laissez le champ IPAddress vide
    • Saisir le nom d’hôte comme FQDN de VCSA
    • Le champ Nom VMCA est le nom de la nouvelle autorité de certification racine en cours de création, par exemple, l’autorité de certification VxRail.
  • Confirmer
"Continue operation : Option[Y/N] ?"
  • Confirmer
"Continue operation : Option[Y/N] ?"
 
Saisissez des valeurs et confirmez la poursuite de l’opération
  • Patientez jusqu’à ce que tous les certificats soient générés et qu’un message de réussite s’affiche
"Reset status : 100% Completed [Reset completed successfully]"
Message Réinitialisation terminée avec succès
 
Message « Réinitialisation terminée avec succès » - Suite
  • Vérifiez que tous les services sont en cours d’exécution
service-control --all --status
 
Confirmer que les services sont en cours d’exécution
  • Accéder à l’interface utilisateur vCenter
  • L’accès par DNS échoue dans Chrome en raison de HSTS. Ouvrez l’adresse IP VCSA ou utilisez un autre navigateur pris en charge, tel que FireFox.
La connexion DNS Chrome n’est pas privée


Poursuite de la connexion IP Chrome


Pour le scénario 2, lorsque le certificat vCenter expire dans moins de 60 jours, suivez la procédure ci-dessous pour renouveler le certificat à l’avance afin d’éviter que VxRail Manager ne se déconnecte de vCenter.

  1. Connectez-vous à vCenter via SSH en tant qu’utilisateur root.
  2. Redémarrer les services
  • Exécuter et arrêter
"service-control --stop --all"
  • Démarrer l’exécution
"service-control --start --all"
  1. Réinitialiser tous les certificats
  • Exécutez la commande suivante :
"/usr/lib/vmware-vmca/bin/certificate-manager"
  • Sélectionnez l’option 8 > Réinitialiser tous les certificats
Réinitialiser tous les certificats (option 8)
  • Saisissez le nom d’utilisateur et le mot de passe vSphere
Saisissez l’utilisateur et le mot de passe vSphere
  • Saisissez les propriétés du certificat
Entrer les propriétés du certificat
  • Confirmez l’opération, puis la racine ou la machine vCenter Les certificats sont renouvelésConfirmer le renouvellement des certificats
  1. Suivez l’article Dell VxRail : Comment importer manuellement le certificat SSL vCenter dans VxRail Manager pour importer les certificats vCenter et CA mis à jour dans la zone de stockage fiable VxRail Manager.

Additional Information

  • Prenez TOUJOURS des snapshots des machines virtuelles système (PSC, VCSA et VRM) avant de suivre cet article.
  • Cette procédure s’applique aux machines virtuelles PSC VCSA qui sont gérées via VxRail LCM.
  • Si l’utilisateur dispose de certificats de sa propre infrastructure, il peut les remplacer maintenant.
  • Après le correctif pour VxRail 4.7.100 et versions ultérieures, suivez l’article de la base de connaissances Dell VxRail : Comment importer manuellement un certificat SSL vCenter dans VxRail Manager pour importer un nouveau certificat racine dans VRM (le plug-in ne fonctionne pas).

Article Properties

Affected Product

VxRail Appliance Family, VxRail Appliance Series

Last Published Date

15 Mar 2024

Version

7

Article Type

Solution

Back to Top