Scenario 1: Il certificato vCenter è già scaduto. (per tutte le versioni di VxRail)
- Impossibile accedere all'interfaccia utente di vCenter.
- Qualsiasi tentativo di accesso quando l'interfaccia utente web è disponibile non riesce anche con le credenziali corrette.
- Il riavvio dei servizi VCSA non riesce.
- Il riavvio dei servizi non attiva tutti i servizi.
Errori osservati:
/var/log/vmware/vpxd-svcs/vpxd-svcs.log:
2020-06-03T09:31:04.523Z [pool-8-thread-1 INFO com.vmware.identity.token.impl.X509TrustChainKeySelector opId=905f6864-c067-4db6-828c-1d59c4b43bf8] Failed to find trusted path to signing certificate <CN=ssoserverSign>
sun.security.provider.certpath.SunCertPathBuilderException: unable to find valid certification path to requested target
at sun.security.provider.certpath.SunCertPathBuilder.build(SunCertPathBuilder.java:141)
Scenario 2: Il certificato vCenter scade tra meno di 60 giorni. (per VxRail 7.0.480 e versioni successive)
- L'accesso all'interfaccia utente di vCenter è stato completato, ma VxRail 7.0.480 e versioni successive mostrano un avviso nella pagina VxRail Cluster > Configure > VxRail > Certificate >All Trust Store Certificates in cui si afferma che il certificato scade tra meno di 60 giorni.
I certificati vCenter sono scaduti o stanno per scadere.
Le versioni di VxRail create inizialmente prima della versione 4.7 possono avere certificati emessi con una durata di due anni a partire dalla data di installazione. Al momento della stesura di questo articolo, una build di VxRail su 4.7.410 dispone di tutti i certificati con una durata di 10 anni.
Gli aggiornamenti delle versioni secondarie non toccano i certificati.
Per un VxRail creato inizialmente sulla versione 4.5.210 e successive, i certificati hanno un periodo di validità di due anni. Consultare l'articolo VMware
Controllo della scadenza del certificato STS sui vCenter Server (79248)
![Questo link ipertestuale indirizza a un sito web esterno a Dell Technologies. Questo link ipertestuale indirizza a un sito web esterno a Dell Technologies.](https://i.dell.com/is/image/DellContent/pop-up-arrow-corner-carbon-64px-1)
per confermare la descrizione dettagliata.
Utilizzare la visualizzazione del certificato nel browser della pagina di accesso di VCSA per confermare che il certificato sia scaduto o elencare i certificati nella CLI di PSC VCSA con il comando dell'articolo
VMware "Signing certificate is not valid" in VCSA 6.5.x,6.7.x o vCenter Server 7.0.x, 8.0.x. (76719)
for i in $(/usr/lib/vmware-vmafd/bin/vecs-cli store list); do echo STORE $i; /usr/lib/vmware-vmafd/bin/vecs-cli entry list --store $i --text | egrep "Alias|Not After"; done
Per lo scenario 1, quando il certificato vCenter è già scaduto, seguire la procedura riportata di seguito per generare nuovi certificati autofirmati su PSC e VCSA.
Nota: Questa procedura è destinata a singole VM PSC o VCSA gestite tramite VxRail LCM. Per i VC HA, ELM o implementati dal cliente, aprire un ticket VMware!
Nota: Esecuzione di istantanee OFFLINE di VRM, PSC e VCSA!
Nota: Verificare che il processo di creazione della snapshot sia terminato senza errori. NON continuare senza istantanee valide!
Nota: Se si verificano problemi, non riprovare senza tornare alle snapshot.
- Correzione di PSC:
Reimpostare tutti i certificati (l'operazione non riesce, ma è prevista).
- Avviare Certificate Manager:
/usr/lib/vmware-vmca/bin/certificate-manager
- Selezionare l'opzione 8 > Reimposta tutti i certificati
"Do you wish to generate all certificates using configuration file : Option[Y/N] ?"
- Inserisci valori
- Lasciare vuoto il campo IPAddress
- Inserire il nome host come FQDN di PSC
- Il campo Nome VMCA è il nome della nuova CA root in fase di creazione, ad esempio VxRail CA.
- Confirm
"Continue operation : Option[Y/N] ?"
"Continue operation : Option[Y/N] ?"
- Questa operazione ha esito negativo con:
Get site nameCompleted [Reset Machine SSL Cert...]
g3node-site
Lookup all services
Get service xxxxxx-site:xxxxxxx-d202-4d8f-9282-xxxxxx317b8f
Update service xxxxxx-site:xxxxxxxx-d202-4d8f-9282-xxxxxx317b8f; spec: /tmp/svcspec_a1hipoqq
Status : 0% Completed [Reset operation failed]
please see /var/log/vmware/vmcad/certificate-manager.log for more information.
root@xxxxc [ ~ ]#
- Risolvere il problema della funzione STS
service-control --all --stop
- Avviare i servizi (l'operazione non riesce, ma è prevista)
service-control --all --start
- Attendere il timeout del processo o arrestarlo quando arriva al servizio vmware-vmon
/usr/lib/vmware-vmca/bin/certificate-manager
- Selezionare l'opzione 6 > Sostituire i certificati utente della soluzione con i certificati VMCA
- Confirm
"Do you wish to generate all certificates using configuration file : Option[Y/N] ?"
- Inserisci credenziali
- Deny (immettere "N") per la riconfigurazione poiché tutte le opzioni sono state configurate in precedenza
"certool.cfg file exists, Do you wish to reconfigure : Option[Y/N] ?"
"You are going to regenerate Solution User Certificates using VMCA, Continue operation : Option[Y/N] ?"
- Attendere l'uscita della procedura. Questa procedura:
- Genera tutti i certificati
- Arresta i servizi
- Avvia i servizi
- Verifica dell'esecuzione di tutti i servizi
service-control --all --status
- Correzione dei certificati su VCSA
Arrestare e avviare tutti i servizi. Questa operazione DEVE essere eseguita DOPO l'esecuzione di tutti i servizi PSC.
service-control --all --stop
service-control --all --start
- Attendere il timeout del processo o arrestarlo quando arriva al servizio vmware-vmon
/usr/lib/vmware-vmca/bin/certificate-manager
- Selezionare l'opzione 8 > Reimposta tutti i certificati
- Avviare Certificate Manager
- Confirm
"Do you wish to generate all certificates using configuration file : Option[Y/N] ?"
- Inserire l'IP PSC
- Inserisci valori
- Lasciare vuoto il campo IPAddress
- Inserire il nome host come FQDN di VCSA
- Il campo Nome VMCA è il nome della nuova CA root in fase di creazione, ad esempio VxRail CA.
- Confirm
"Continue operation : Option[Y/N] ?"
"Continue operation : Option[Y/N] ?"
- Attendere la generazione di tutti i certificati e finché non viene visualizzato un messaggio di completamento
"Reset status : 100% Completed [Reset completed successfully]"
- Verificare che tutti i servizi siano in esecuzione
service-control --all --status
- Accesso all'interfaccia utente di vCenter
- L'accesso da parte del DNS non riesce in Chrome a causa di HSTS. Aprire l'IP VCSA o utilizzare un altro browser supportato, ad esempio FireFox.
Per lo scenario 2, quando il certificato vCenter scade tra meno di 60 giorni, seguire la procedura riportata di seguito per rinnovare il certificato in anticipo ed evitare la disconnessione di VxRail Manager da vCenter.
- Accedere a vCenter tramite SSH come utente root
- Riavviare i servizi
"service-control --stop --all"
"service-control --start --all"
- Reimpostare tutti i certificati
"/usr/lib/vmware-vmca/bin/certificate-manager"
- Selezionare l'opzione 8 > Reimposta tutti i certificati
- Inserire nome utente e password vSphere
- Immettere le proprietà del certificato
- Confermare l'operazione e quindi rinnovare i certificati root o della macchina vCenter
![Conferma che i certificati sono stati rinnovati](https://supportkb.dell.com/img/ka06P000000cFjsQAE/ka06P000000cFjsQAE_it_4.jpeg)
- Consultare l'articolo Dell VxRail: Come importare manualmente il certificato SSL vCenter su VxRail Manager per importare i certificati vCenter e CA aggiornati nell'archivio dei certificati attendibili di VxRail Manager.