Scenariusz 1: Certyfikat vCenter już wygasł. (Dotyczy wszystkich wersji VxRail)
- Nie można zalogować się do interfejsu użytkownika vCenter.
- Każda próba zalogowania, gdy dostępny jest sieciowy interfejs użytkownika, kończy się niepowodzeniem nawet przy użyciu poprawnych poświadczeń.
- Ponowne uruchomienie usług VCSA kończy się niepowodzeniem.
- Ponowne uruchomienie usług nie powoduje wyświetlenia wszystkich usług.
Wykryte błędy:
/var/log/vmware/vpxd-svcs/vpxd-svcs.log:
2020-06-03T09:31:04.523Z [pool-8-thread-1 INFO com.vmware.identity.token.impl.X509TrustChainKeySelector opId=905f6864-c067-4db6-828c-1d59c4b43bf8] Failed to find trusted path to signing certificate <CN=ssoserverSign>
sun.security.provider.certpath.SunCertPathBuilderException: unable to find valid certification path to requested target
at sun.security.provider.certpath.SunCertPathBuilder.build(SunCertPathBuilder.java:141)
Scenariusz 2: Certyfikat vCenter wygasa po mniej niż 60 dniach. (Dla VxRail 7.0.480 i nowszych wersji)
- Logowanie do interfejsu użytkownika vCenter zostało zakończone, ale VxRail 7.0.480 i nowsze wersje wyświetlają ostrzeżenie w klastrze VxRail Strona > konfiguracji > certyfikatu > VxRail >Wszystkie certyfikaty magazynu zaufania z informacją, że certyfikat wygasa za mniej niż 60 dni.
Certyfikaty vCenter wygasły lub wkrótce wygasną.
Wersje VxRail, które zostały pierwotnie zbudowane przed wersją 4.7, mogą mieć certyfikaty z okresem ważności wynoszącym dwa lata od daty instalacji. W chwili pisania tego artykułu kompilacja VxRail w wersji 4.7.410 ma wszystkie certyfikaty z 10-letnim okresem eksploatacji.
Uaktualnienia wersji pomocniczych nie mają wpływu na certyfikaty!
W przypadku rozwiązania VxRail, które początkowo było oparte na wersji 4.5.210 i nowszych, certyfikaty mają dwuletni okres ważności. Zapoznaj się z artykułem VMware
Sprawdzanie wygaśnięcia certyfikatu STS na serwerach vCenter Server (79248),
![Kliknięcie tego hiperłącza powoduje wyświetlenie strony spoza witryny Dell Technologies. Kliknięcie tego hiperłącza powoduje wyświetlenie strony spoza witryny Dell Technologies.](https://i.dell.com/is/image/DellContent/pop-up-arrow-corner-carbon-64px-1)
aby potwierdzić szczegółowy opis.
Użyj opcji wyświetl certyfikat w przeglądarce na stronie logowania VCSA, aby potwierdzić, że certyfikat wygasł, lub wyświetl listę certyfikatów w interfejsie wiersza poleceń PSC VCSA z błędem z artykułu VMware
"Signing certificate is invalid" w VCSA 6.5.x,6.7.x lub vCenter Server 7.0.x, 8.0.x. (76719)
for i in $(/usr/lib/vmware-vmafd/bin/vecs-cli store list); do echo STORE $i; /usr/lib/vmware-vmafd/bin/vecs-cli entry list --store $i --text | egrep "Alias|Not After"; done
W przypadku scenariusza 1, gdy certyfikat vCenter już wygasł, wykonaj poniższą procedurę, aby wygenerować nowe certyfikaty z podpisem własnym na PSC i VCSA.
Uwaga: Ta procedura jest przeznaczona dla pojedynczych maszyn wirtualnych PSC lub VCSA, które są utrzymywane przez VxRail LCM. W przypadku HA, ELM lub VC wdrożonych przez Klienta otwórz zgłoszenie VMware!
Uwaga: Rób migawki VRM, PSC i VCSA w trybie OFFLINE!
Uwaga: Sprawdź, czy proces tworzenia migawki zakończył się bez błędów! NIE kontynuuj bez prawidłowych migawek!
Uwaga: Jeśli wystąpią problemy, nie należy ponawiać próby bez powrotu do migawek!
- Poprawka PSC:
Zresetuj wszystkie certyfikaty (Nie powiedzie się, ale zgodnie z oczekiwaniami).
- Uruchom menedżera certyfikatów:
/usr/lib/vmware-vmca/bin/certificate-manager
- Wybierz opcję 8 > Resetuj wszystkie certyfikaty
"Do you wish to generate all certificates using configuration file : Option[Y/N] ?"
- Wprowadź wartości
- Pozostaw puste pole IPAddress
- Wprowadź nazwę hosta jako FQDN PSC
- Pole Nazwa VMCA to nazwa nowo tworzonego głównego urzędu certyfikacji, na przykład VxRail CA.
- Zatwierdź
"Continue operation : Option[Y/N] ?"
"Continue operation : Option[Y/N] ?"
- Ta operacja kończy się niepowodzeniem z następującymi informacjami:
Get site nameCompleted [Reset Machine SSL Cert...]
g3node-site
Lookup all services
Get service xxxxxx-site:xxxxxxx-d202-4d8f-9282-xxxxxx317b8f
Update service xxxxxx-site:xxxxxxxx-d202-4d8f-9282-xxxxxx317b8f; spec: /tmp/svcspec_a1hipoqq
Status : 0% Completed [Reset operation failed]
please see /var/log/vmware/vmcad/certificate-manager.log for more information.
root@xxxxc [ ~ ]#
- Rozwiąż problem z usługą STS
service-control --all --stop
- Uruchom usługi (niepowodzenie, ale zgodnie z oczekiwaniami)
service-control --all --start
- Poczekaj, aż upłynie limit czasu procesu, lub zatrzymaj go, gdy dotrze do usługi vmware-vmon
/usr/lib/vmware-vmca/bin/certificate-manager
- Wybierz opcję 6 > Zastąp certyfikaty użytkowników rozwiązania certyfikatami VMCA
- Zatwierdź
"Do you wish to generate all certificates using configuration file : Option[Y/N] ?"
- Wprowadzanie poświadczeń
- Odmów (wpisz "N") przy ponownej konfiguracji, ponieważ wszystkie opcje zostały skonfigurowane powyżej
"certool.cfg file exists, Do you wish to reconfigure : Option[Y/N] ?"
"You are going to regenerate Solution User Certificates using VMCA, Continue operation : Option[Y/N] ?"
- Poczekaj na zakończenie procedury. Ta procedura:
- Generuje wszystkie certyfikaty.
- Zatrzymuje usługi.
- Uruchamia usługi.
- Potwierdź, czy wszystkie usługi są uruchomione
service-control --all --status
- Napraw certyfikaty na VCSA
Zatrzymaj i uruchom wszystkie usługi. Należy to zrobić PO uruchomieniu wszystkich usług PSC!
service-control --all --stop
service-control --all --start
- Poczekaj, aż upłynie limit czasu procesu, lub zatrzymaj go, gdy dotrze do usługi vmware-vmon
/usr/lib/vmware-vmca/bin/certificate-manager
- Wybierz opcję 8 > Resetuj wszystkie certyfikaty
- Uruchom menedżera certyfikatów
- Zatwierdź
"Do you wish to generate all certificates using configuration file : Option[Y/N] ?"
- Wprowadź adres IP PSC
- Wprowadź wartości
- Pozostaw puste pole IPAddress
- Wprowadź nazwę hosta jako FQDN VCSA
- Pole Nazwa VMCA to nazwa nowo tworzonego głównego urzędu certyfikacji, na przykład VxRail CA.
- Zatwierdź
"Continue operation : Option[Y/N] ?"
"Continue operation : Option[Y/N] ?"
- Poczekaj, aż wszystkie certyfikaty zostaną wygenerowane i pojawi się komunikat o pomyślnym zakończeniu
"Reset status : 100% Completed [Reset completed successfully]"
- Sprawdź, czy wszystkie usługi są uruchomione
service-control --all --status
- Dostęp do interfejsu użytkownika vCenter
- Dostęp przez DNS nie powiedzie się w Chrome z powodu HSTS. Otwórz adres IP VCSA lub użyj innej obsługiwanej przeglądarki, takiej jak FireFox.
W przypadku scenariusza 2, gdy certyfikat vCenter wygasa za mniej niż 60 dni, wykonaj poniższą procedurę, aby odnowić certyfikat z wyprzedzeniem, aby uniknąć rozłączenia VxRail Manager z vCenter.
- Zaloguj się do vCenter przez SSH jako użytkownik główny
- Uruchom ponownie usługi
"service-control --stop --all"
"service-control --start --all"
- Resetowanie wszystkich certyfikatów
"/usr/lib/vmware-vmca/bin/certificate-manager"
- Wybierz opcję 8 > Resetuj wszystkie certyfikaty
- Wprowadź nazwę użytkownika i hasło vSphere
- Wprowadź właściwości certyfikatu
- Potwierdź operację, a następnie odnowisz certyfikaty użytkownika głównego lub komputera vCenter
![Potwierdź, że certyfikaty zostały odnowione](https://supportkb.dell.com/img/ka06P000000cFjvQAE/ka06P000000cFjvQAE_pl_4.jpeg)
- Śledź artykuł Dell VxRail: Ręczne importowanie certyfikatu SSL vCenter w programie VxRail Manager w celu zaimportowania zaktualizowanych certyfikatów vCenter i CA do magazynu zaufanych certyfikatów VxRail Manager.