VxRail: Kan niet aanmelden bij vCenter vanwege verlopen certificaten

Scenario 1: Het vCenter-certificaat is al verlopen. (Voor alle VxRail-versies)

• Kan niet aanmelden bij de vCenter-interface.
• Elke aanmeldingspoging wanneer de webinterface beschikbaar is, mislukt zelfs met de juiste referenties.
  
• Het opnieuw opstarten van vCenter Server Appliance-services (VCSA) mislukt.
• Bij het opnieuw opstarten van services worden niet alle services weergegeven.

/var/log/vmware/vpxd-svcs/vpxd-svcs.log:
2020-06-03T09:31:04.523Z [pool-8-thread-1  INFO  com.vmware.identity.token.impl.X509TrustChainKeySelector  opId=905f6864-c067-4db6-828c-1d59c4b43bf8] Failed to find trusted path to signing certificate <CN=ssoserverSign>
sun.security.provider.certpath.SunCertPathBuilderException: unable to find valid certification path to requested target
        at sun.security.provider.certpath.SunCertPathBuilder.build(SunCertPathBuilder.java:141)

Scenario 2: Het vCenter-certificaat verloopt in minder dan 60 dagen. (Voor VxRail 7.0.480 en hogere versies)

• Het aanmelden bij de vCenter-gebruikersinterface is voltooid, maar VxRail 7.0.480 en latere versies geven een waarschuwing weer op de pagina VxRail cluster > VxRail >> Certificate >configureren Alle Trust Store Certificates pagina met de melding dat het certificaat over minder dan 60 dagen verloopt.
  

vCenter-certificaten zijn verlopen of verlopen binnenkort.
VxRail-versies die oorspronkelijk vóór 4.7 zijn gebouwd, kunnen certificaten hebben met een levensduur van twee jaar vanaf de installatiedatum. Op het moment van schrijven van dit artikel heeft een VxRail build op 4.7.410 alle certificaten met een levensduur van 10 jaar.

Kleine versie-upgrades komen niet aan de certificaten!
Voor een VxRail die oorspronkelijk is gebouwd op 4.5.210 en latere versies, hebben de certificaten een geldigheidsduur van twee jaar. Raadpleeg het VMware-artikel voor VMware Security Token Service (STS) Checking Expiration of STS Certificate on vCenter Servers (79248) om de gedetailleerde beschrijving te bevestigen.

Gebruik de weergave van het certificaat in de browser van de inlogpagina van de VCSA om te controleren of het certificaat is verlopen. Of zet de certificaten op een rijtje in de CLI van de Platform Services Controller (PSC) (VCSA). Zie opdrachten uit het VMware-artikel Fout "Signing certificate is not valid" in VCSA 6.5.x,6.7.x of vCenter Server 7.0.x, 8.0.x. (76719)

for i in $(/usr/lib/vmware-vmafd/bin/vecs-cli store list); do echo STORE $i; /usr/lib/vmware-vmafd/bin/vecs-cli entry list --store $i --text | egrep "Alias|Not After"; done

Voor scenario 1 volgt u, wanneer het vCenter-certificaat al is verlopen, de onderstaande procedure om nieuwe zelfondertekende certificaten te genereren op PSC en VCSA.

1. PSC repareren:
   Reset alle certificaten (dit mislukt, maar dat was te verwachten.)

   • Start Certificate Manager:

     /usr/lib/vmware-vmca/bin/certificate-manager

   • Selecteer optie 8 > Alle certificaten resetten
     • Bevestigen

       "Do you wish to generate all certificates using configuration file : Option[Y/N] ?"

     • Voer referenties in
       
     • Waarden invoeren
       • Laat het veld "IPAddress" leeg
       • Voer de hostnaam in als volledig gekwalificeerde domeinnaam (FQDN) van PSC
       • VMware Certificate Authority (VMCA) Name-veld is de naam van een nieuwe basis-CA die wordt gemaakt, bijvoorbeeld VxRail CA.
     • Bevestigen

       "Continue operation : Option[Y/N] ?"

     • Bevestigen

       "Continue operation : Option[Y/N] ?"

       • Deze bewerking mislukt met:

         Get site nameCompleted [Reset Machine SSL Cert...]
         g3node-site
         Lookup all services
         Get service xxxxxx-site:xxxxxxx-d202-4d8f-9282-xxxxxx317b8f
         Update service xxxxxx-site:xxxxxxxx-d202-4d8f-9282-xxxxxx317b8f; spec: /tmp/svcspec_a1hipoqq
         
         Status : 0% Completed [Reset operation failed]
         
         please see /var/log/vmware/vmcad/certificate-manager.log for more information.
         root@xxxxc [ ~ ]#

         

     • Opgelost: het STS-probleem
       Download en voer het script uit uit het VMware-artikel "Signing certificate is not valid" error in VCSA 6.5.x,6.7.x of vCenter Server 7.0.x, 8.0.x. (76719)
       

       • Stop Services

         service-control --all --stop

       • Services starten (dit mislukt, maar dat is te verwachten)

         service-control --all --start

         
       • Wacht tot het proces een time-out heeft opgelopen of stop het proces wanneer de "vmware-vmon"- service wordt bereikt

         /usr/lib/vmware-vmca/bin/certificate-manager

       • Selecteer optie 6 > "Oplossingsgebruikerscertificaten vervangen door VMCA-certificaten"
       • Bevestigen

         "Do you wish to generate all certificates using configuration file : Option[Y/N] ?"

       • Voer referenties in
       • Weigeren (N invoeren) voor herconfiguratie omdat alle opties hierboven zijn geconfigureerd

         "certool.cfg file exists, Do you wish to reconfigure : Option[Y/N] ?"

       • Bevestigen

         "You are going to regenerate Solution User Certificates using VMCA, Continue operation : Option[Y/N] ?"

       • Wacht tot de procedure wordt afgesloten. Deze procedure:
         • Genereert alle certificaten
         • Stopt de services
         • Start de services
           
       • Controleer of alle services worden uitgevoerd

         service-control --all --status

         

     • Herstel certificaten op VCSA
       Stop en start alle services. Dit MOET worden gedaan NADAT alle PSC-services zijn uitgevoerd!

       • Stoppen

         service-control --all --stop

       • Start

         service-control --all --start

         
       • Wacht tot het proces een time-out heeft opgelopen of stop het wanneer de vmware-vmon service wordt bereikt

         /usr/lib/vmware-vmca/bin/certificate-manager

       • Selecteer optie 8 > Alle certificaten resetten
       • Certificaatbeheer starten
       • Bevestigen

         "Do you wish to generate all certificates using configuration file : Option[Y/N] ?"

       • Voer referenties in
         
       • Voer PSC IP in
       • Waarden invoeren
         • Laat het veld IPAddress leeg
         • Voer de hostnaam in als FQDN van VCSA
         • Het veld VMCA Name is de naam van de nieuwe basis-CA die wordt gemaakt, bijvoorbeeld VxRail CA.
       • Bevestigen

         "Continue operation : Option[Y/N] ?"

       • Bevestigen

         "Continue operation : Option[Y/N] ?"

         
       • Wacht tot alle certificaten zijn gegenereerd en een bericht over een geslaagde voltooiing wordt weergegeven

         "Reset status : 100% Completed [Reset completed successfully]"

         
          
         
       • Controleer of alle services worden uitgevoerd

         service-control --all --status

         
       • Toegang tot vCenter UI
       • Toegang via DNS (Domain Name System) mislukt in Chrome vanwege HTTP Strict Transport Security (HSTS). Open het VCSA IP-adres of gebruik een andere ondersteunde browser zoals FireFox.
         
         

Voor scenario 2, wanneer het vCenter-certificaat in minder dan 60 dagen verloopt, volgt u de onderstaande procedure om het certificaat vooraf te vernieuwen om te voorkomen dat VxRail Manager de verbinding met vCenter verbreekt.

1. Meld u via SSH aan bij vCenter als rootgebruiker

2. Services opnieuw starten

   • Uitvoeren Stop

     "service-control --stop --all"

   • Start uitvoeren

     "service-control --start --all"

3. Alle certificaten resetten

   • Voer het volgende uit:

     "/usr/lib/vmware-vmca/bin/certificate-manager"

   • Selecteer optie 8 > Alle certificaten resetten
     
   • Voer de gebruikersnaam en het wachtwoord van vSphere in
     
   • Voer de certificaateigenschappen in
     
   • Bevestig de bewerking, waarna de vCenter-basis- of machinecertificaten worden vernieuwd
     

4. Volg het artikel Dell VxRail: Het vCenter SSL-certificaat handmatig importeren in VxRail Manager om de bijgewerkte vCenter- en CA-certificaten te importeren in het vertrouwensarchief van VxRail Manager.

• Maak ALTIJD snapshots van systeem-VM's (PSC, VCSA en VRM) voordat u dit artikel volgt.
• Deze procedure is bedoeld voor PSC VCSA VM's die worden onderhouden via VxRail LCM.

• Als een gebruiker certificaten van zijn eigen infrastructuur heeft, kan hij deze nu vervangen.
• Volg na de oplossing voor VxRail versie 4.7.100 en hoger het KB-artikel Dell VxRail: Een vCenter SSL-certificaat handmatig importeren in VxRail Manager om een nieuw rootcertificaat te importeren in VRM (plug-in werkt niet).