Article Number: 000082108
Dell VxRail: Anmeldung bei vCenter aufgrund abgelaufener Zertifikate nicht möglich
Summary: VxRail 4.5 und 4.7: Anmeldung bei vCenter aufgrund abgelaufener Zertifikate nicht möglich. Zertifikate müssen neu ausgestellt werden. VxRail 7.0.480 oder höher: Das Warnzertifikat läuft in weniger als 60 Tagen ab. Es wird empfohlen, das Zertifikat im Voraus zu erneuern. ...
Article Content
Symptoms
Szenario 1: Das vCenter-Zertifikat ist bereits abgelaufen. (Für alle VxRail-Versionen)
- Anmeldung bei der vCenter-Benutzeroberfläche nicht möglich.
- Jeder Anmeldeversuch, wenn die Webnutzeroberfläche verfügbar ist, schlägt selbst bei korrekten Anmeldeinformationen fehl.
- Neustart der VCSA-Services schlägt fehl.
- Beim Neustart von Services werden nicht alle Services angezeigt.
Beobachtete Fehler:
/var/log/vmware/vpxd-svcs/vpxd-svcs.log: 2020-06-03T09:31:04.523Z [pool-8-thread-1 INFO com.vmware.identity.token.impl.X509TrustChainKeySelector opId=905f6864-c067-4db6-828c-1d59c4b43bf8] Failed to find trusted path to signing certificate <CN=ssoserverSign> sun.security.provider.certpath.SunCertPathBuilderException: unable to find valid certification path to requested target at sun.security.provider.certpath.SunCertPathBuilder.build(SunCertPathBuilder.java:141)
Szenario 2: Das vCenter-Zertifikat läuft in weniger als 60 Tagen ab. (Für VxRail 7.0.480-Versionen und höher)
- Die Anmeldung bei der vCenter-Benutzeroberfläche ist abgeschlossen, aber VxRail 7.0.480 und spätere Versionen zeigen eine Warnung auf der Seite VxRail-Cluster >>> konfigurieren >Alle Truststore-Zertifikate an, die besagt, dass das Zertifikat in weniger als 60 Tagen abläuft.
Cause
vCenter-Zertifikate sind abgelaufen oder laufen bald ab.
VxRail-Versionen, die ursprünglich vor 4.7 erstellt wurden, verfügen möglicherweise über Zertifikate, die mit einer Lebensdauer von zwei Jahren ab Installationsdatum ausgestellt wurden. Zum Zeitpunkt der Erstellung dieses Artikels verfügt ein VxRail-Build auf 4.7.410 über alle Zertifikate mit einer Lebensdauer von 10 Jahren.
Kleinere Versionsupgrades haben keine Auswirkungen auf die Zertifikate!
Für ein VxRail-System, das anfänglich auf 4.5.210 und höheren Versionen erstellt wurde, haben die Zertifikate eine Gültigkeitsdauer von zwei Jahren. Lesen Sie den VMware-Artikel Überprüfen des Ablaufs des STS-Zertifikats auf vCenter Servern (79248),
um die detaillierte Beschreibung zu bestätigen.
Verwenden Sie die Ansicht des Zertifikats im Browser der Anmeldeseite der VCSA, um zu bestätigen, dass das Zertifikat abgelaufen ist, oder listen Sie die Zertifikate in der CLI der PSC VCSA mit dem Befehl aus dem VMware-Artikel "Signaturzertifikat ist nicht gültig" in VCSA 6.5.x,6.7.x oder vCenter Server 7.0.x, 8.0.x auf. (76719)
VxRail-Versionen, die ursprünglich vor 4.7 erstellt wurden, verfügen möglicherweise über Zertifikate, die mit einer Lebensdauer von zwei Jahren ab Installationsdatum ausgestellt wurden. Zum Zeitpunkt der Erstellung dieses Artikels verfügt ein VxRail-Build auf 4.7.410 über alle Zertifikate mit einer Lebensdauer von 10 Jahren.
Kleinere Versionsupgrades haben keine Auswirkungen auf die Zertifikate!
Für ein VxRail-System, das anfänglich auf 4.5.210 und höheren Versionen erstellt wurde, haben die Zertifikate eine Gültigkeitsdauer von zwei Jahren. Lesen Sie den VMware-Artikel Überprüfen des Ablaufs des STS-Zertifikats auf vCenter Servern (79248),
um die detaillierte Beschreibung zu bestätigen.
Verwenden Sie die Ansicht des Zertifikats im Browser der Anmeldeseite der VCSA, um zu bestätigen, dass das Zertifikat abgelaufen ist, oder listen Sie die Zertifikate in der CLI der PSC VCSA mit dem Befehl aus dem VMware-Artikel "Signaturzertifikat ist nicht gültig" in VCSA 6.5.x,6.7.x oder vCenter Server 7.0.x, 8.0.x auf. (76719)
for i in $(/usr/lib/vmware-vmafd/bin/vecs-cli store list); do echo STORE $i; /usr/lib/vmware-vmafd/bin/vecs-cli entry list --store $i --text | egrep "Alias|Not After"; done
Resolution
Wenn das vCenter-Zertifikat für Szenario 1 bereits abgelaufen ist, führen Sie das folgende Verfahren aus, um neue selbstsignierte Zertifikate auf PSC und VCSA zu erzeugen.
Hinweis: Dieses Verfahren ist für einzelne PSC- oder VCSA-VMs vorgesehen, die über VxRail LCM verwaltet werden. Eröffnen Sie für HA-, ELM- oder vom Kunden bereitgestellte VCs ein VMware-Ticket!
Hinweis: Erstellen Sie OFFLINE-Snapshots von VRM, PSC und VCSA!
Hinweis: Überprüfen Sie, ob der Snapshot-Erstellungsprozess ohne Fehler abgeschlossen wurde. Fahren Sie NICHT ohne gültige Snapshots fort!
Hinweis: Wenn Probleme auftreten, versuchen Sie es nicht erneut, ohne auf Snapshots zurückzugreifen!
- PSC korrigieren:
Alle Zertifikate zurücksetzen (Dies schlägt fehl, ist aber zu erwarten.)
- Starten Sie den Zertifikat-Manager:
/usr/lib/vmware-vmca/bin/certificate-manager
- Option 8 > Alle Zertifikate zurücksetzen auswählen
- Bestätigen
"Do you wish to generate all certificates using configuration file : Option[Y/N] ?"
- Anmeldeinformationen eingeben
- Werte eingeben
- Das Feld "IPAddress" leer lassen
- Geben Sie den Hostnamen als FQDN des PSC ein.
- Das Feld VMCA-Name ist der Name der neuen Stammzertifizierungsstelle, die erstellt wird, z. B. VxRail-Zertifizierungsstelle.
- Bestätigen
"Continue operation : Option[Y/N] ?"
- Bestätigen
"Continue operation : Option[Y/N] ?"
- Dieser Vorgang schlägt fehl mit:
Get site nameCompleted [Reset Machine SSL Cert...]
g3node-site
Lookup all services
Get service xxxxxx-site:xxxxxxx-d202-4d8f-9282-xxxxxx317b8f
Update service xxxxxx-site:xxxxxxxx-d202-4d8f-9282-xxxxxx317b8f; spec: /tmp/svcspec_a1hipoqq
Status : 0% Completed [Reset operation failed]
please see /var/log/vmware/vmcad/certificate-manager.log for more information.
root@xxxxc [ ~ ]#
- Beheben des STS-Problems
Laden Sie das Skript herunter und führen Sie es aus dem VMware-Artikel aus. Fehler "Signierungszertifikat ist ungültig" in VCSA 6.5.x,6.7.x oder vCenter Server 7.0.x, 8.0.x. (76719)
- Beenden der Services
service-control --all --stop
- Starten von Services (Dies schlägt fehl, ist aber zu erwarten)
service-control --all --start
- Warten Sie, bis der Prozess ein Timeout aufweist, oder stoppen Sie ihn, wenn er den vmware-vmon-Service erreicht.
/usr/lib/vmware-vmca/bin/certificate-manager
- Option 6 > auswählen: Ersetzen von Lösungsnutzerzertifikaten durch VMCA-Zertifikate
- Bestätigen
"Do you wish to generate all certificates using configuration file : Option[Y/N] ?"
- Anmeldeinformationen eingeben
- Verweigern (geben Sie "N" ein) für die Neukonfiguration, da alle Optionen oben konfiguriert wurden
"certool.cfg file exists, Do you wish to reconfigure : Option[Y/N] ?"
- Bestätigen
"You are going to regenerate Solution User Certificates using VMCA, Continue operation : Option[Y/N] ?"
- Warten Sie, bis das Verfahren beendet ist. Dieses Verfahren:
- Erzeugt alle Zertifikate
- Beendet die Services
- Starten der Services
- Überprüfen , ob alle Services ausgeführt werden
service-control --all --status
- Korrigieren von Zertifikaten auf VCSA
Beenden und starten Sie alle Services. Dies MUSS durchgeführt werden , NACHDEM alle PSC-Services ausgeführt wurden!
- Beenden
service-control --all --stop
- Start
service-control --all --start
- Warten Sie, bis der Prozess ein Timeout aufweist, oder stoppen Sie ihn, wenn er den vmware-vmon-Service erreicht.
/usr/lib/vmware-vmca/bin/certificate-manager
- Option 8 > Alle Zertifikate zurücksetzen auswählen
- Starten des Zertifikat-Managers
- Bestätigen
"Do you wish to generate all certificates using configuration file : Option[Y/N] ?"
- Anmeldeinformationen eingeben
- PSC-IP eingeben
- Werte eingeben
- Das Feld "IPAddress" leer lassen
- Geben Sie den Hostnamen als FQDN der VCSA ein.
- Das Feld VMCA-Name ist der Name der neuen Stammzertifizierungsstelle, die erstellt wird, z. B. VxRail-Zertifizierungsstelle.
- Bestätigen
"Continue operation : Option[Y/N] ?"
- Bestätigen
"Continue operation : Option[Y/N] ?"
- Warten Sie, bis alle Zertifikate erzeugt wurden und eine Meldung über den erfolgreichen Abschluss angezeigt wird.
"Reset status : 100% Completed [Reset completed successfully]"
- Überprüfen Sie, ob alle Services ausgeführt werden
service-control --all --status
- Zugriff auf die vCenter-Benutzeroberfläche
- Der Zugriff über DNS schlägt in Chrome aufgrund von HSTS fehl. Öffnen Sie die VCSA-IP oder verwenden Sie einen anderen unterstützten Browser, z. B. FireFox.
Wenn das vCenter-Zertifikat in weniger als 60 Tagen abläuft, befolgen Sie für Szenario 2 das folgende Verfahren, um das Zertifikat im Voraus zu erneuern und zu vermeiden, dass VxRail Manager von vCenter getrennt wird.
- Melden Sie sich über SSH als root-Nutzer bei vCenter an
- Services neu starten
- Ausführen Stoppen
"service-control --stop --all"
- Start ausführen
"service-control --start --all"
- Alle Zertifikate zurücksetzen
- Führen Sie folgenden Befehl aus:
"/usr/lib/vmware-vmca/bin/certificate-manager"
- Option 8 > Alle Zertifikate zurücksetzen auswählen
- Geben Sie den vSphere-Nutzernamen und das vSphere-Kennwort ein
- Geben Sie die Zertifikateigenschaften ein
- Bestätigen Sie den Vorgang und dann werden die vCenter-Root- oder Maschinenzertifikate erneuert
- Befolgen Sie den folgenden Artikel Dell VxRail: Manuelles Importieren des vCenter SSL-Zertifikats in VxRail Manager zum Importieren der aktualisierten vCenter- und CA-Zertifikate in den VxRail Manager-Vertrauensspeicher.
Additional Information
- Erstellen Sie IMMER Snapshots von System-VMs (PSC, VCSA und VRM), bevor Sie diesem Artikel folgen.
- Dieses Verfahren ist für PSC VCSA-VMs vorgesehen, die über VxRail LCM verwaltet werden.
- Wenn NutzerInnen über Zertifikate aus ihrer eigenen Infrastruktur verfügen, können sie diese jetzt ersetzen.
- Folgen Sie nach der Korrektur für VxRail-Version 4.7.100 und höher dem KB-Artikel Dell VxRail: Manuelles Importieren des vCenter SSL-Zertifikats auf VxRail Manager zum Importieren eines neuen Root-Zertifikats in VRM (Plug-in funktioniert nicht).
Article Properties
Affected Product
VxRail Appliance Family, VxRail Appliance Series
Last Published Date
15 Mar 2024
Version
7
Article Type
Solution