Cenário 1: O certificado do vCenter já expirou. (Para todas as versões do VxRail)
- Não foi possível fazer log-in na interface do usuário do vCenter.
- Qualquer tentativa de log-in quando a IU da Web está disponível falha, mesmo com as credenciais corretas.
- A reinicialização dos serviços do VCSA falha.
- A reinicialização dos serviços não ativa todos os serviços.
Erros observados:
/var/log/vmware/vpxd-svcs/vpxd-svcs.log:
2020-06-03T09:31:04.523Z [pool-8-thread-1 INFO com.vmware.identity.token.impl.X509TrustChainKeySelector opId=905f6864-c067-4db6-828c-1d59c4b43bf8] Failed to find trusted path to signing certificate <CN=ssoserverSign>
sun.security.provider.certpath.SunCertPathBuilderException: unable to find valid certification path to requested target
at sun.security.provider.certpath.SunCertPathBuilder.build(SunCertPathBuilder.java:141)
Cenário 2: O certificado do vCenter expira em menos de 60 dias. (Para o VxRail 7.0.480 e versões posteriores)
- O login na interface do usuário do vCenter foi concluído, mas o VxRail 7.0.480 e versões posteriores mostram um aviso na página Configure > VxRail >> Certificate >All Trust Store Certificates, informando que o certificado expira em menos de 60 dias.
Os certificados do vCenter expiram ou expiram em breve.
As versões do VxRail que foram criadas inicialmente antes da 4.7 podem ter certificados emitidos com uma vida útil de dois anos a partir da data de instalação. No momento em que este artigo foi escrito, uma compilação do VxRail na versão 4.7.410 tem todos os certificados com uma vida útil de 10 anos.
Atualizações secundárias de versão não afetam os certificados!
Para um VxRail que foi inicialmente criado na versão 4.5.210 e versões posteriores, os certificados têm um período de validade de dois anos. Consulte o artigo da VMware
Checking Expiration of STS Certificate on vCenter Servers (79248)
![Esse hiperlink direcionará você para um site fora da Dell Technologies. Esse hiperlink direcionará você para um site fora da Dell Technologies.](https://i.dell.com/is/image/DellContent/pop-up-arrow-corner-carbon-64px-1)
para confirmar a descrição detalhada.
Use o recurso de exibição do certificado no navegador da página de log-in do VCSA para confirmar se o certificado expirou ou liste os certificados na CLI do VCSA do PSC com o comando do artigo da VMware
Erro "Assinar certificado não é válido" no VCSA 6.5.x,6.7.x ou vCenter Server 7.0.x, 8.0.x. (76719)
for i in $(/usr/lib/vmware-vmafd/bin/vecs-cli store list); do echo STORE $i; /usr/lib/vmware-vmafd/bin/vecs-cli entry list --store $i --text | egrep "Alias|Not After"; done
Para o cenário 1, quando o certificado do vCenter já tiver expirado, siga o procedimento abaixo para gerar novos certificados autoassinados no PSC e no VCSA.
Nota: Este procedimento destina-se a VMs únicas do PSC ou do VCSA que são mantidas por meio do LCM do VxRail. Para HA, ELM ou VCs implementados pelo cliente, abra um tíquete da VMware!
Nota: Faça snapshots OFFLINE do VRM, PSC e VCSA!
Nota: Verifique se o processo de criação de snapshots foi concluído sem erros! NÃO continue sem snapshots válidos!
Nota: Se forem encontrados problemas, não repita sem reverter para snapshots!
- Corrigir o PSC:
Redefinir todos os certificados (Isso falha, mas é esperado.)
- Inicie o Gerenciador de certificados:
/usr/lib/vmware-vmca/bin/certificate-manager
- Selecione a opção 8 > Redefinir todos os certificados
"Do you wish to generate all certificates using configuration file : Option[Y/N] ?"
- Inserir valores
- Deixe o campo IPAddress vazio
- Digite o nome de host como FQDN do PSC
- O campo VMCA Name é o nome da nova CA raiz que está sendo criada, por exemplo, a CA do VxRail.
- Confirm
"Continue operation : Option[Y/N] ?"
"Continue operation : Option[Y/N] ?"
- Falha nessa operação com:
Get site nameCompleted [Reset Machine SSL Cert...]
g3node-site
Lookup all services
Get service xxxxxx-site:xxxxxxx-d202-4d8f-9282-xxxxxx317b8f
Update service xxxxxx-site:xxxxxxxx-d202-4d8f-9282-xxxxxx317b8f; spec: /tmp/svcspec_a1hipoqq
Status : 0% Completed [Reset operation failed]
please see /var/log/vmware/vmcad/certificate-manager.log for more information.
root@xxxxc [ ~ ]#
- Correção do problema do STS
service-control --all --stop
- Iniciar serviços (isso falha, mas é esperado)
service-control --all --start
- Aguarde até que o processo atinja o tempo limite ou o interrompa quando chegar ao serviço vmware-vmon
/usr/lib/vmware-vmca/bin/certificate-manager
- Selecione a opção 6 > Substituir certificados de usuário da solução por certificados VMCA
- Confirm
"Do you wish to generate all certificates using configuration file : Option[Y/N] ?"
- Insira as credenciais
- Negar (digite "N") para reconfigurar, pois todas as opções foram configuradas acima
"certool.cfg file exists, Do you wish to reconfigure : Option[Y/N] ?"
"You are going to regenerate Solution User Certificates using VMCA, Continue operation : Option[Y/N] ?"
- Aguarde até que o procedimento seja encerrado. Este procedimento:
- Gera todos os certificados
- Interrompe os serviços
- Inicia os serviços
- Confirme se todos os serviços estão em execução
service-control --all --status
- Corrigir certificados no VCSA
Interrompa e inicie todos os serviços. Isso DEVE ser feito DEPOIS que todos os serviços do PSC estiverem em execução!
service-control --all --stop
service-control --all --start
- Aguarde até que o processo atinja o tempo limite ou o interrompa quando chegar ao serviço vmware-vmon
/usr/lib/vmware-vmca/bin/certificate-manager
- Selecione a opção 8 > Redefinir todos os certificados
- Iniciar o Gerenciador de certificados
- Confirm
"Do you wish to generate all certificates using configuration file : Option[Y/N] ?"
- Digite PSC IP
- Inserir valores
- Deixe o campo IPAddress vazio
- Digite o nome de host como FQDN do VCSA
- O campo VMCA Name é o nome da nova CA raiz que está sendo criada, por exemplo, a CA do VxRail.
- Confirm
"Continue operation : Option[Y/N] ?"
"Continue operation : Option[Y/N] ?"
- Aguarde até que todos os certificados sejam gerados e uma mensagem de conclusão bem-sucedida seja exibida
"Reset status : 100% Completed [Reset completed successfully]"
- Verifique se todos os serviços estão em execução
service-control --all --status
- Acessar a interface do usuário do vCenter
- O acesso por DNS falha no Chrome devido ao HSTS. Abra o IP do VCSA ou use outro navegador compatível, como o FireFox.
Para o cenário 2, quando o certificado do vCenter expirar em menos de 60 dias, siga o procedimento abaixo para renovar o certificado com antecedência, a fim de evitar que o VxRail Manager se desconecte do vCenter.
- Faça log-in no vCenter via SSH como usuário root
- Reiniciar serviços
"service-control --stop --all"
"service-control --start --all"
- Redefinir todos os certificados
"/usr/lib/vmware-vmca/bin/certificate-manager"
- Selecione a opção 8 > Redefinir todos os certificados
- Insira o nome de usuário e a senha do vSphere
- Insira as propriedades do certificado
- Confirme a operação e, em seguida, os certificados da raiz ou da máquina do vCenter serão renovados
![Confirmar se os certificados foram renovados](https://supportkb.dell.com/img/ka06P000000cFjwQAE/ka06P000000cFjwQAE_pt_BR_4.jpeg)
- Siga o artigo Dell VxRail: Como importar manualmente o certificado SSL do vCenter no VxRail Manager para importar os certificados atualizados do vCenter e da CA para o armazenamento confiável do VxRail Manager.