VxRail: Kunne ikke logge på vCenter pga. udløbne certifikater

Scenarie 1: vCenter-certifikatet er allerede udløbet. (For alle VxRail-versioner)

• Kunne ikke logge på vCenter UI.
• Ethvert logonforsøg, når webbrugergrænsefladen er tilgængelig, mislykkes, selv med korrekte legitimationsoplysninger.
  
• Genstart af VCSA-tjenester (vCenter Server Appliance) mislykkes.
• Genstart af tjenester bringer ikke alle tjenester op.

/var/log/vmware/vpxd-svcs/vpxd-svcs.log:
2020-06-03T09:31:04.523Z [pool-8-thread-1  INFO  com.vmware.identity.token.impl.X509TrustChainKeySelector  opId=905f6864-c067-4db6-828c-1d59c4b43bf8] Failed to find trusted path to signing certificate <CN=ssoserverSign>
sun.security.provider.certpath.SunCertPathBuilderException: unable to find valid certification path to requested target
        at sun.security.provider.certpath.SunCertPathBuilder.build(SunCertPathBuilder.java:141)

Scenarie 2: vCenter-certifikatet udløber om mindre end 60 dage. (For VxRail 7.0.480 og nyere versioner)

• Log på vCenter Brugergrænsefladen er fuldført, men VxRail 7.0.480 og nyere versioner viser en advarsel på siden Konfigurer VxRail-klyngekonfiguration >> af VxRail-certifikat >>Alle tillidslagercertifikater , der angiver, at certifikatet udløber om mindre end 60 dage.
  

vCenter-certifikater udløber eller udløber snart.
VxRail-versioner, der oprindeligt blev bygget før 4.7, kan have certifikater udstedt med en levetid på to år fra installationsdatoen. I skrivende stund har en VxRail, der bygger på 4.7.410, alle certifikater med en levetid på 10 år.

Mindre versionsopgraderinger berører ikke certifikaterne!
For en VxRail, der oprindeligt blev bygget på 4.5.210 og nyere versioner, har certifikaterne en gyldighedsperiode på to år. Se VMware-artiklen for VMware Security Token Service (STS), der kontrollerer udløbet af STS-certifikat på vCenter-servere (79248) for at bekræfte den detaljerede beskrivelse.

Brug visningen af certifikatet i browseren på VCSA's logonside til at bekræfte, at certifikatet er udløbet. Du kan også angive certifikaterne i CLI for Platform Services Controller (PSC) (VCSA). Se kommandoerne fra VMware-artiklen Signering af certifikat er ikke gyldig" fejl i VCSA 6.5.x,6.7.x eller vCenter Server 7.0.x, 8.0.x. (76719)

for i in $(/usr/lib/vmware-vmafd/bin/vecs-cli store list); do echo STORE $i; /usr/lib/vmware-vmafd/bin/vecs-cli entry list --store $i --text | egrep "Alias|Not After"; done

I scenarie 1, hvor vCenter-certifikatet allerede er udløbet, skal du følge nedenstående procedure for at generere nye selvsignerede certifikater på PSC og VCSA.

1. Løs problemer med PSC:
   Nulstil alle certifikater (Dette mislykkes, men det forventes.)

   • Start Certificate Manager:

     /usr/lib/vmware-vmca/bin/certificate-manager

   • Vælg mulighed 8 > : Nulstil alle certifikater
     • Bekræfte

       "Do you wish to generate all certificates using configuration file : Option[Y/N] ?"

     • Indtast legitimationsoplysninger
       
     • Indtast værdier
       • Lad feltet "IPAddress" være tomt
       • Indtast værtsnavn som fuldt kvalificeret domænenavn (FQDN) for PSC
       • Feltet VMware Certificate Authority (VMCA) Name er navnet på et nyt rodnøglecenter, der oprettes, f.eks. VxRail CA.
     • Bekræfte

       "Continue operation : Option[Y/N] ?"

     • Bekræfte

       "Continue operation : Option[Y/N] ?"

       • Denne handling mislykkes med:

         Get site nameCompleted [Reset Machine SSL Cert...]
         g3node-site
         Lookup all services
         Get service xxxxxx-site:xxxxxxx-d202-4d8f-9282-xxxxxx317b8f
         Update service xxxxxx-site:xxxxxxxx-d202-4d8f-9282-xxxxxx317b8f; spec: /tmp/svcspec_a1hipoqq
         
         Status : 0% Completed [Reset operation failed]
         
         please see /var/log/vmware/vmcad/certificate-manager.log for more information.
         root@xxxxc [ ~ ]#

         

     • Løs STS-problemet
       Download og kør scriptet fra VMware-artiklen "Signing certificate is not valid" fejl i VCSA 6.5.x,6.7.x eller vCenter Server 7.0.x, 8.0.x. (76719)
       

       • Stop tjenester

         service-control --all --stop

       • Start tjenester (Dette mislykkes, men det forventes)

         service-control --all --start

         
       • Vent på, at processen får timeout, eller stop den, når den kommer til "vmware-vmon"- tjenesten

         /usr/lib/vmware-vmca/bin/certificate-manager

       • Vælg mulighed 6 > "Erstat løsningsbrugercertifikater med VMCA-certifikater"
       • Bekræfte

         "Do you wish to generate all certificates using configuration file : Option[Y/N] ?"

       • Indtast legitimationsoplysninger
       • Afvis (indtast "N") for at omkonfigurere, da alle indstillinger blev konfigureret ovenfor

         "certool.cfg file exists, Do you wish to reconfigure : Option[Y/N] ?"

       • Bekræfte

         "You are going to regenerate Solution User Certificates using VMCA, Continue operation : Option[Y/N] ?"

       • Vent, indtil proceduren afsluttes. Denne procedure:
         • Genererer alle certifikater
         • Stopper tjenesterne
         • Starter tjenesterne
           
       • Bekræft , om alle tjenester kører

         service-control --all --status

         

     • Ret certifikater på VCSA
       Stop og start alle tjenester. Dette SKAL gøres, EFTER at alle PSC-tjenester kører!

       • Stop

         service-control --all --stop

       • Start

         service-control --all --start

         
       • Vent på, at der opstår timeout for processen, eller stop den, når den når til vmware-vmon-tjenesten

         /usr/lib/vmware-vmca/bin/certificate-manager

       • Vælg mulighed 8 > : Nulstil alle certifikater
       • Start certifikatstyring
       • Bekræfte

         "Do you wish to generate all certificates using configuration file : Option[Y/N] ?"

       • Indtast legitimationsoplysninger
         
       • Indtast PSC IP
       • Indtast værdier
         • Lad IPAddress-feltet være tomt
         • Indtast værtsnavn som FQDN for VCSA
         • Feltet VMCA-navn er navnet på det nye rodnøglecenter, der oprettes, f.eks. VxRail CA.
       • Bekræfte

         "Continue operation : Option[Y/N] ?"

       • Bekræfte

         "Continue operation : Option[Y/N] ?"

         
       • Vent, indtil alle certifikater er genereret, og der vises en meddelelse om, at fuldførelsen er gennemført

         "Reset status : 100% Completed [Reset completed successfully]"

         
          
         
       • Kontroller, at alle tjenester kører

         service-control --all --status

         
       • Få adgang til vCenter-brugergrænsefladen
       • Adgang via DNS-indtastning (Domain Name System) mislykkes i Chrome på grund af HTTP Strict Transport Security (HSTS). Åbn VCSA IP eller brug en anden understøttet browser såsom FireFox.
         
         

For scenarie 2, hvor vCenter-certifikatet udløber om mindre end 60 dage, skal du følge nedenstående procedure for at forny certifikatet på forhånd for at undgå, at VxRail Manager afbrydes fra vCenter.

1. Log på vCenter via SSH som rodbruger

2. Genstart tjenester

   • Kør Stop

     "service-control --stop --all"

   • Kør Start

     "service-control --start --all"

3. Nulstil alle certifikater

   • Kør:

     "/usr/lib/vmware-vmca/bin/certificate-manager"

   • Vælg mulighed 8 > : Nulstil alle certifikater
     
   • Indtast vSphere-brugernavn og -adgangskode
     
   • Indtast certifikategenskaberne
     
   • Bekræft handlingen, og derefter fornyes vCenter-rod - eller maskincertifikaterne
     

4. Følg artiklen Dell VxRail: Sådan importeres vCenter SSL-certifikat manuelt på VxRail Manager for at importere de opdaterede vCenter- og CA-certifikater til VxRail Manager-tillidslageret.

• Tag ALTID snapshots af System VM'er (PSC, VCSA og VRM), før du følger denne artikel.
• Denne procedure er beregnet til PSC VCSA VM'er, som vedligeholdes via VxRail LCM.

• Hvis en bruger har certifikater fra sin egen infrastruktur, kan vedkommende erstatte dem nu.
• Efter rettelse til VxRail version 4.7.100 og nyere skal du følge KB-artiklen Dell VxRail: Sådan importeres vCenter SSL-certifikat manuelt på VxRail Manager for at importere et nyt rodcertifikat til VRM (plug-in virker ikke).