Skip to main content
Sign Out

Welcome to Dell

My Account
  • Place orders quickly and easily
  • View orders and track your shipping status
  • Enjoy members-only rewards and discounts
  • Create and access a list of your products
  • Manage your Dell EMC sites, products, and product-level contacts using Company Administration.
Sign In Create an Account Dell Financial Services Premier Sign In Partner Program Sign In
Contact Us

Your Dell.com Carts

Article Number: 000082108

Dell VxRail:由于证书过期,无法登录 vCenter

Summary: VxRail 4.5 和 4.7:由于证书过期,无法登录 vCenter。必须重新颁发证书。 VxRail 7.0.480 或更高版本:警告证书将在 60 天内到期,建议提前续订证书。

This article may have been automatically translated. If you have any feedback regarding its quality, please let us know using the form at the bottom of this page.

Article Content

Symptoms

情况 1:vCenter 证书已过期。(对于所有 VxRail 版本)

  • 无法登录到 vCenter UI。
  • 当 Web UI 可用时,即使凭据正确,任何登录尝试都会失败。
输入正确的凭据时登录失败
  • 重新启动 VCSA 服务失败。
  • 重新启动服务不会显示所有服务。
观察到的错误:  
/var/log/vmware/vpxd-svcs/vpxd-svcs.log:
2020-06-03T09:31:04.523Z [pool-8-thread-1  INFO  com.vmware.identity.token.impl.X509TrustChainKeySelector  opId=905f6864-c067-4db6-828c-1d59c4b43bf8] Failed to find trusted path to signing certificate <CN=ssoserverSign>
sun.security.provider.certpath.SunCertPathBuilderException: unable to find valid certification path to requested target
        at sun.security.provider.certpath.SunCertPathBuilder.build(SunCertPathBuilder.java:141)


情况 2:vCenter 证书将在 60 天内到期。(对于 VxRail 7.0.480 及更高版本)

  • 登录 vCenter UI 已完成,但 VxRail 7.0.480 及更高版本在 VxRail 群集>配置 VxRail > 证书>“所有>信任存储证书”页面中显示警告,指出证书将在不到 60 天内到期。
显示证书将过期的警告消息

Cause

vCenter 证书已过期或即将过期。
最初在 4.7 之前构建的 VxRail 版本颁发的证书自安装之日起有效期为两年。在撰写本文时,基于 4.7.410 的 VxRail 内部版本具有所有有效期为 10 年的证书。

次要版本升级不影响证书!
对于最初基于 4.5.210 及更高版本构建的 VxRail,证书的有效期为两年。请查看 VMware 文章检查 vCenter 服务器上 STS 证书的到期日期 (79248)(检查 vCenter 服务器上 STS 证书的过期日期)(79248)(英文版) 此超链接会将您带往 Dell Technologies 之外的网站。以确认详细说明。

在 VCSA 登录页面的浏览器中使用查看证书以确认证书已过期,或使用 VCSA 6.5.x、6.7.x 或 vCenter Server 7.0.x、8.0.x 中的 VMware 文章“签名证书无效”错误中的命令在 PSC VCSA 的 CLI 中列出证书。(76719) 此超链接会将您带往 Dell Technologies 之外的网站。 
for i in $(/usr/lib/vmware-vmafd/bin/vecs-cli store list); do echo STORE $i; /usr/lib/vmware-vmafd/bin/vecs-cli entry list --store $i --text | egrep "Alias|Not After"; done

Resolution

对于情景 1,当 vCenter 证书已过期时,请按照以下步骤在 PSC 和 VCSA 上生成新的自签名证书。

 
提醒:此过程适用于通过 VxRail LCM 维护的单个 PSC 或 VCSA 虚拟机。对于 HA、ELM 或客户部署的 VC,请创建 VMware 工单!
 
提醒:拍摄 VRM、PSC 和 VCSA 的 离线快照!
 
提醒:请检查快照创建过程是否已完成且没有错误!请勿在没有有效快照的情况下继续!
 
提醒:如果遇到问题,请勿在不恢复到快照的情况下重试!
 
  1. 修复 PSC:
重置所有证书(失败,但这是预期行为。)
  • 启动证书管理器:     
/usr/lib/vmware-vmca/bin/certificate-manager
  • 选择 选项 8 > 重置所有证书
    • 确认
"Do you wish to generate all certificates using configuration file : Option[Y/N] ?"
  • 输入凭据
证书管理器 - 选项 8
  • 输入值
    • IPAddress 字段留空
    • 输入 主机名 作为 PSC 的 FQDN
    • VMCA 名称字段是 要创建的新根 CA 的名称,例如 VxRail CA。
  • 确认
"Continue operation : Option[Y/N] ?"
  • 确认
"Continue operation : Option[Y/N] ?"
  • 此操作失败,并显示:
Get site nameCompleted [Reset Machine SSL Cert...]
g3node-site
Lookup all services
Get service xxxxxx-site:xxxxxxx-d202-4d8f-9282-xxxxxx317b8f
Update service xxxxxx-site:xxxxxxxx-d202-4d8f-9282-xxxxxx317b8f; spec: /tmp/svcspec_a1hipoqq

Status : 0% Completed [Reset operation failed]

please see /var/log/vmware/vmcad/certificate-manager.log for more information.
root@xxxxc [ ~ ]#
 
失败消息的屏幕截图
  1. 修复 STS 问题
 
从 VMware 运行脚本文章
  • 停止服务
service-control --all --stop
  • 启动服务 (这会失败,但这是预期行为)
service-control --all --start
停止和启动服务
  • 等待进程超时或在到达 vmware-vmon 服务时停止
/usr/lib/vmware-vmca/bin/certificate-manager
  • 选择 选项 6 > 将解决方案用户证书替换为 VMCA 证书
  • 确认 
"Do you wish to generate all certificates using configuration file : Option[Y/N] ?"
  • 输入凭据
  • 拒绝(输入“N”)重新配置,因为上面配置了所有选项
"certool.cfg file exists, Do you wish to reconfigure : Option[Y/N] ?"
  • 确认
"You are going to regenerate Solution User Certificates using VMCA, Continue operation : Option[Y/N] ?"
  • 等待该过程退出。此过程:
    • 生成所有证书
    • 停止服务
    • 启动服务
生成证书
  • 确认 所有 服务 是否都在运行
service-control --all --status
确认服务正在运行 
  1. 修复 VCSA 上的证书
停止并启动所有服务。必须在所有 PSC 服务都运行执行此操作!
  • 停止
service-control --all --stop
  • 开始
service-control --all --start
 
PSC 运行后停止和启动服务
  • 等待进程超时或在到达 vmware-vmon 服务时停止
/usr/lib/vmware-vmca/bin/certificate-manager
  • 选择 选项 8 > 重置所有证书
  • 启动证书管理器
  • 确认
"Do you wish to generate all certificates using configuration file : Option[Y/N] ?"
  • 输入凭据
输入凭据并选择选项 8
  • 输入 PSC IP
  • 输入值
    • IPAddress 字段留空
    • 输入 主机名 作为 VCSA 的 FQDN
    • VMCA 名称字段是 要创建的新根 CA 的名称,例如 VxRail CA。
  • 确认
"Continue operation : Option[Y/N] ?"
  • 确认
"Continue operation : Option[Y/N] ?"
 
输入值并确认继续操作
  • 等待所有证书生成完毕,并显示成功完成消息
"Reset status : 100% Completed [Reset completed successfully]"
重置已成功完成消息
 
重置已成功,消息继续
  • 检查所有服务是否正在运行
service-control --all --status
 
确认服务正在运行
  • 访问 vCenter UI
  • 由于 HSTS,DNS 在 Chrome 中的访问失败。打开 VCSA IP 或使用其他受支持的浏览器,例如 FireFox。
Chrome DNS 连接不是私有的


Chrome IP 连接继续


对于情景 2,当 vCenter 证书在不到 60 天的时间内到期时,请按照以下步骤提前续订证书,以避免 VxRail Manager 与 vCenter 断开连接。

  1. 以 root 用户身份通过 SSH 登录 vCenter
  2. 重新启动服务
  • 运行 停止
"service-control --stop --all"
  • 运行 “启动”
"service-control --start --all"
  1. 重置所有证书
  • 运行:
"/usr/lib/vmware-vmca/bin/certificate-manager"
  • 选择 选项 8 > 重置所有证书
重置所有证书(选项 8)
  • 输入 vSphere 用户名和密码
输入 vSphere 用户和密码
  • 输入证书属性
输入证书属性
  • 确认操作,然后续订 vCenter 根证书或计算机证书确认证书已续订
  1. 请参阅文章 Dell VxRail:如何在 VxRail Manager 上手动导入 vCenter SSL 证书,以将更新的 vCenter 和 CA 证书导入 VxRail Manager 信任存储库。

Additional Information

  • 按照本文操作之前,请始终拍摄系统虚拟机(PSC、VCSA 和 VRM)的快照。
  • 此过程适用于通过 VxRail LCM 维护的 PSC VCSA 虚拟机。
  • 如果用户拥有来自其基础架构的证书,他们现在可以替换它们。
  • 修复 VxRail 版本 4.7.100 及更高版本后,请按照知识库文章 Dell VxRail:如何在 VxRail Manager 上手动导入 vCenter SSL 证书 ,以将新的根证书导入 VRM(插件不起作用)。

Article Properties

Affected Product

VxRail Appliance Family, VxRail Appliance Series

Last Published Date

15 Mar 2024

Version

7

Article Type

Solution

Back to Top