Skip to main content
Sign Out

Welcome to Dell

My Account
  • Place orders quickly and easily
  • View orders and track your shipping status
  • Enjoy members-only rewards and discounts
  • Create and access a list of your products
  • Manage your Dell EMC sites, products, and product-level contacts using Company Administration.
Sign In Create an Account Dell Financial Services Premier Sign In Partner Program Sign In
Contact Us

Your Dell.com Carts

Article Number: 000082108

Dell VxRail: Impossibile accedere a vCenter a causa di certificati scaduti

Summary: VxRail 4.5 e 4.7: Impossibile accedere a vCenter a causa di certificati scaduti. I certificati devono essere riemessi. VxRail 7.0.480 o versioni successive: Avvertenza il certificato scade tra meno di 60 giorni, si consiglia di rinnovarlo in anticipo. ...

This article may have been automatically translated. If you have any feedback regarding its quality, please let us know using the form at the bottom of this page.

Article Content

Symptoms

Scenario 1: Il certificato vCenter è già scaduto. (per tutte le versioni di VxRail)

  • Impossibile accedere all'interfaccia utente di vCenter.
  • Qualsiasi tentativo di accesso quando l'interfaccia utente web è disponibile non riesce anche con le credenziali corrette.
L'accesso non riesce quando vengono inserite le credenziali corrette
  • Il riavvio dei servizi VCSA non riesce.
  • Il riavvio dei servizi non attiva tutti i servizi.
Errori osservati:  
/var/log/vmware/vpxd-svcs/vpxd-svcs.log:
2020-06-03T09:31:04.523Z [pool-8-thread-1  INFO  com.vmware.identity.token.impl.X509TrustChainKeySelector  opId=905f6864-c067-4db6-828c-1d59c4b43bf8] Failed to find trusted path to signing certificate <CN=ssoserverSign>
sun.security.provider.certpath.SunCertPathBuilderException: unable to find valid certification path to requested target
        at sun.security.provider.certpath.SunCertPathBuilder.build(SunCertPathBuilder.java:141)


Scenario 2: Il certificato vCenter scade tra meno di 60 giorni. (per VxRail 7.0.480 e versioni successive)

  • L'accesso all'interfaccia utente di vCenter è stato completato, ma VxRail 7.0.480 e versioni successive mostrano un avviso nella pagina VxRail Cluster > Configure > VxRail > Certificate >All Trust Store Certificates in cui si afferma che il certificato scade tra meno di 60 giorni.
Viene visualizzato un messaggio di avvertenza indicante la scadenza del certificato

Cause

I certificati vCenter sono scaduti o stanno per scadere.
Le versioni di VxRail create inizialmente prima della versione 4.7 possono avere certificati emessi con una durata di due anni a partire dalla data di installazione. Al momento della stesura di questo articolo, una build di VxRail su 4.7.410 dispone di tutti i certificati con una durata di 10 anni.

Gli aggiornamenti delle versioni secondarie non toccano i certificati.
Per un VxRail creato inizialmente sulla versione 4.5.210 e successive, i certificati hanno un periodo di validità di due anni. Consultare l'articolo VMware Controllo della scadenza del certificato STS sui vCenter Server (79248) Questo link ipertestuale indirizza a un sito web esterno a Dell Technologies. per confermare la descrizione dettagliata.

Utilizzare la visualizzazione del certificato nel browser della pagina di accesso di VCSA per confermare che il certificato sia scaduto o elencare i certificati nella CLI di PSC VCSA con il comando dell'articolo VMware "Signing certificate is not valid" in VCSA 6.5.x,6.7.x o vCenter Server 7.0.x, 8.0.x. (76719) Questo link ipertestuale indirizza a un sito web esterno a Dell Technologies. 
for i in $(/usr/lib/vmware-vmafd/bin/vecs-cli store list); do echo STORE $i; /usr/lib/vmware-vmafd/bin/vecs-cli entry list --store $i --text | egrep "Alias|Not After"; done

Resolution

Per lo scenario 1, quando il certificato vCenter è già scaduto, seguire la procedura riportata di seguito per generare nuovi certificati autofirmati su PSC e VCSA.

 
Nota: Questa procedura è destinata a singole VM PSC o VCSA gestite tramite VxRail LCM. Per i VC HA, ELM o implementati dal cliente, aprire un ticket VMware!
 
Nota: Esecuzione di istantanee OFFLINE di VRM, PSC e VCSA!
 
Nota: Verificare che il processo di creazione della snapshot sia terminato senza errori. NON continuare senza istantanee valide!
 
Nota: Se si verificano problemi, non riprovare senza tornare alle snapshot.
 
  1. Correzione di PSC:
Reimpostare tutti i certificati (l'operazione non riesce, ma è prevista).
  • Avviare Certificate Manager:     
/usr/lib/vmware-vmca/bin/certificate-manager
  • Selezionare l'opzione 8 > Reimposta tutti i certificati
    • Confirm
"Do you wish to generate all certificates using configuration file : Option[Y/N] ?"
  • Inserisci credenziali
Certificate Manager - Opzione 8
  • Inserisci valori
    • Lasciare vuoto il campo IPAddress
    • Inserire il nome host come FQDN di PSC
    • Il campo Nome VMCA è il nome della nuova CA root in fase di creazione, ad esempio VxRail CA.
  • Confirm
"Continue operation : Option[Y/N] ?"
  • Confirm
"Continue operation : Option[Y/N] ?"
  • Questa operazione ha esito negativo con:
Get site nameCompleted [Reset Machine SSL Cert...]
g3node-site
Lookup all services
Get service xxxxxx-site:xxxxxxx-d202-4d8f-9282-xxxxxx317b8f
Update service xxxxxx-site:xxxxxxxx-d202-4d8f-9282-xxxxxx317b8f; spec: /tmp/svcspec_a1hipoqq

Status : 0% Completed [Reset operation failed]

please see /var/log/vmware/vmcad/certificate-manager.log for more information.
root@xxxxc [ ~ ]#
 
Schermata del messaggio di errore
  1. Risolvere il problema della funzione STS
 
Eseguire lo script dall'articolo di VMware
  • Arrestare i servizi
service-control --all --stop
  • Avviare i servizi (l'operazione non riesce, ma è prevista)
service-control --all --start
Arresto e avvio dei servizi
  • Attendere il timeout del processo o arrestarlo quando arriva al servizio vmware-vmon 
/usr/lib/vmware-vmca/bin/certificate-manager
  • Selezionare l'opzione 6 > Sostituire i certificati utente della soluzione con i certificati VMCA
  • Confirm 
"Do you wish to generate all certificates using configuration file : Option[Y/N] ?"
  • Inserisci credenziali
  • Deny (immettere "N") per la riconfigurazione poiché tutte le opzioni sono state configurate in precedenza
"certool.cfg file exists, Do you wish to reconfigure : Option[Y/N] ?"
  • Confirm
"You are going to regenerate Solution User Certificates using VMCA, Continue operation : Option[Y/N] ?"
  • Attendere l'uscita della procedura. Questa procedura:
    • Genera tutti i certificati
    • Arresta i servizi
    • Avvia i servizi
Generazione del certificato
  • Verifica dell'esecuzione di tutti i servizi 
service-control --all --status
Conferma dell'esecuzione dei servizi 
  1. Correzione dei certificati su VCSA
Arrestare e avviare tutti i servizi. Questa operazione DEVE essere eseguita DOPO l'esecuzione di tutti i servizi PSC.
  • Arresta
service-control --all --stop
  • Start
service-control --all --start
 
Arrestare e avviare i servizi dopo l'esecuzione di PSC
  • Attendere il timeout del processo o arrestarlo quando arriva al servizio vmware-vmon 
/usr/lib/vmware-vmca/bin/certificate-manager
  • Selezionare l'opzione 8 > Reimposta tutti i certificati
  • Avviare Certificate Manager
  • Confirm
"Do you wish to generate all certificates using configuration file : Option[Y/N] ?"
  • Inserisci credenziali
Inserisci le credenziali e seleziona l'opzione 8
  • Inserire l'IP PSC
  • Inserisci valori
    • Lasciare vuoto il campo IPAddress
    • Inserire il nome host come FQDN di VCSA
    • Il campo Nome VMCA è il nome della nuova CA root in fase di creazione, ad esempio VxRail CA.
  • Confirm
"Continue operation : Option[Y/N] ?"
  • Confirm
"Continue operation : Option[Y/N] ?"
 
Inserire i valori e confermare continuando con l'operazione
  • Attendere la generazione di tutti i certificati e finché non viene visualizzato un messaggio di completamento
"Reset status : 100% Completed [Reset completed successfully]"
Messaggio di reimpostazione completata correttamente
 
Messaggio di reimpostazione completata correttamente
  • Verificare che tutti i servizi siano in esecuzione
service-control --all --status
 
Conferma dell'esecuzione dei servizi
  • Accesso all'interfaccia utente di vCenter
  • L'accesso da parte del DNS non riesce in Chrome a causa di HSTS. Aprire l'IP VCSA o utilizzare un altro browser supportato, ad esempio FireFox.
Connessione DNS di Chrome non privata


Connessione IP Chrome - Procedi


Per lo scenario 2, quando il certificato vCenter scade tra meno di 60 giorni, seguire la procedura riportata di seguito per rinnovare il certificato in anticipo ed evitare la disconnessione di VxRail Manager da vCenter.

  1. Accedere a vCenter tramite SSH come utente root
  2. Riavviare i servizi
  • Arresto corsa
"service-control --stop --all"
  • Esegui avvio
"service-control --start --all"
  1. Reimpostare tutti i certificati
  • Eseguire:
"/usr/lib/vmware-vmca/bin/certificate-manager"
  • Selezionare l'opzione 8 > Reimposta tutti i certificati
Reimpostare tutti i certificati (opzione 8)
  • Inserire nome utente e password vSphere
Inserire l'utente e la password di vSphere
  • Immettere le proprietà del certificato
Immettere le proprietà del certificato
  • Confermare l'operazione e quindi rinnovare i certificati root o della macchina vCenterConferma che i certificati sono stati rinnovati
  1. Consultare l'articolo Dell VxRail: Come importare manualmente il certificato SSL vCenter su VxRail Manager per importare i certificati vCenter e CA aggiornati nell'archivio dei certificati attendibili di VxRail Manager.

Additional Information

Article Properties

Affected Product

VxRail Appliance Family, VxRail Appliance Series

Last Published Date

15 Mar 2024

Version

7

Article Type

Solution

Back to Top