Article Number: 000082108
Dell VxRail: 인증서가 만료되어 vCenter에 로그인할 수 없음
Summary: VxRail 4.5 및 4.7: 인증서가 만료되어 vCenter에 로그인할 수 없습니다. 인증서를 다시 발급해야 합니다. VxRail 7.0.480 이상: 경고 인증서가 60일 이내에 만료됩니다. 미리 인증서를 갱신하는 것이 좋습니다.
Article Content
Symptoms
시나리오 1: vCenter 인증서가 이미 만료되었습니다. (모든 VxRail 버전)
- vCenter UI에 로그인할 수 없습니다.
- 웹 UI를 사용할 수 있을 때의 로그인 시도는 올바른 자격 증명이 있어도 실패합니다.
- VCSA 서비스 재시작에 실패합니다.
- 서비스를 재시작해도 모든 서비스가 표시되지는 않습니다.
발견된 오류:
/var/log/vmware/vpxd-svcs/vpxd-svcs.log: 2020-06-03T09:31:04.523Z [pool-8-thread-1 INFO com.vmware.identity.token.impl.X509TrustChainKeySelector opId=905f6864-c067-4db6-828c-1d59c4b43bf8] Failed to find trusted path to signing certificate <CN=ssoserverSign> sun.security.provider.certpath.SunCertPathBuilderException: unable to find valid certification path to requested target at sun.security.provider.certpath.SunCertPathBuilder.build(SunCertPathBuilder.java:141)
시나리오 2: vCenter 인증서가 60일 이내에 만료됩니다. (VxRail 7.0.480 이상 버전의 경우)
- vCenter UI 로그인이 완료되었지만 VxRail 7.0.480 이상 버전은 VxRail Cluster > 의 VxRail > 인증서 > 구성 >모든 신뢰 저장소 인증서 페이지에 인증서가 60일 이내에 만료된다는 경고가 표시됩니다.
Cause
vCenter 인증서가 만료되었거나 곧 만료됩니다.
4.7 이전에 처음 빌드된 VxRail 버전에는 설치일로부터 2년의 기간으로 발급된 인증서가 있을 수 있습니다. 이 문서를 작성할 당시 4.7.410 기반 VxRail 빌드에는 수명이 10년인 모든 인증서가 있습니다.
부 버전 업그레이드는 인증서를 건드리지 않습니다!
4.5.210 이상 버전에서 처음 구축된 VxRail의 경우 인증서의 유효 기간은 2년입니다. 자세한 설명은 VMware 문서 vCenter Server에서 STS 인증서 만료 확인(79248)
을 참조하십시오.
VCSA 로그인 페이지의 브라우저에서 인증서 보기를 사용하여 인증서가 만료되었는지 확인하거나 VCSA 6.5.x,6.7.x 또는 vCenter Server 7.0.x, 8.0.x에서 VMware 문서 "서명 인증서가 유효하지 않음" 오류의 명령을 사용하여 PSC VCSA의 CLI에 인증서를 나열합니다. (76719)
4.7 이전에 처음 빌드된 VxRail 버전에는 설치일로부터 2년의 기간으로 발급된 인증서가 있을 수 있습니다. 이 문서를 작성할 당시 4.7.410 기반 VxRail 빌드에는 수명이 10년인 모든 인증서가 있습니다.
부 버전 업그레이드는 인증서를 건드리지 않습니다!
4.5.210 이상 버전에서 처음 구축된 VxRail의 경우 인증서의 유효 기간은 2년입니다. 자세한 설명은 VMware 문서 vCenter Server에서 STS 인증서 만료 확인(79248)
을 참조하십시오.
VCSA 로그인 페이지의 브라우저에서 인증서 보기를 사용하여 인증서가 만료되었는지 확인하거나 VCSA 6.5.x,6.7.x 또는 vCenter Server 7.0.x, 8.0.x에서 VMware 문서 "서명 인증서가 유효하지 않음" 오류의 명령을 사용하여 PSC VCSA의 CLI에 인증서를 나열합니다. (76719)
for i in $(/usr/lib/vmware-vmafd/bin/vecs-cli store list); do echo STORE $i; /usr/lib/vmware-vmafd/bin/vecs-cli entry list --store $i --text | egrep "Alias|Not After"; done
Resolution
시나리오 1의 경우 vCenter 인증서가 이미 만료된 경우 아래 절차에 따라 PSC 및 VCSA에서 자체 서명된 새 인증서를 생성합니다.
참고: 이 절차는 VxRail LCM을 통해 유지 관리되는 단일 PSC 또는 VCSA VM을 위한 것입니다. HA, ELM 또는 고객이 배포한 VC의 경우 VMware 티켓을 여십시오!
참고: VRM, PSC 및 VCSA의 오프라인 스냅샷을 찍습니다!
참고: 스냅샷 생성 프로세스가 오류 없이 완료되었는지 확인하십시오! 유효한 스냅샷 없이 계속하지 마십시오!
참고: 문제가 발생하면 스냅샷으로 되돌리지 않고 재시도하지 마십시오!
- PSC 수정:
모든 인증서 재설정(실패하지만 예상되는 현상)
- 인증서 관리자 시작:
/usr/lib/vmware-vmca/bin/certificate-manager
- 옵션 8 > Reset all Certificates를 선택합니다.
- 확인
"Do you wish to generate all certificates using configuration file : Option[Y/N] ?"
- 자격 증명 입력
- 값 입력
- IPAddress 필드를 비워 둡니다.
- PSC의 FQDN으로 호스트 이름을 입력합니다.
- VMCA Name 필드는 생성 중인 새 루트 CA의 이름입니다. 예: VxRail CA.
- 확인
"Continue operation : Option[Y/N] ?"
- 확인
"Continue operation : Option[Y/N] ?"
- 이 작업은 다음 오류와 함께 실패합니다.
Get site nameCompleted [Reset Machine SSL Cert...]
g3node-site
Lookup all services
Get service xxxxxx-site:xxxxxxx-d202-4d8f-9282-xxxxxx317b8f
Update service xxxxxx-site:xxxxxxxx-d202-4d8f-9282-xxxxxx317b8f; spec: /tmp/svcspec_a1hipoqq
Status : 0% Completed [Reset operation failed]
please see /var/log/vmware/vmcad/certificate-manager.log for more information.
root@xxxxc [ ~ ]#
- STS 문제 해결
- 서비스 중지
service-control --all --stop
- 서비스 시작 (실패했지만 예상된 작업임)
service-control --all --start
- 프로세스가 시간 초과될 때까지 기다리거나 vmware-vmon 서비스에 도달하면 중지합니다.
/usr/lib/vmware-vmca/bin/certificate-manager
- 옵션 6 > Replace Solution user certificates with VMCA certificates를 선택합니다.
- 확인
"Do you wish to generate all certificates using configuration file : Option[Y/N] ?"
- 자격 증명 입력
- 위에서 모든 옵션이 구성되었으므로 재구성을 위한 거부("N" 입력)
"certool.cfg file exists, Do you wish to reconfigure : Option[Y/N] ?"
- 확인
"You are going to regenerate Solution User Certificates using VMCA, Continue operation : Option[Y/N] ?"
- 절차가 종료될 때까지 기다리십시오. 이 절차는 다음과 같습니다.
- 모든 인증서를 생성합니다.
- 서비스를 중지합니다.
- 서비스 시작
- 모든 서비스가 실행 중인지 확인합니다.
service-control --all --status
- VCSA에서 인증서 수정
모든 서비스를 중지한 후 시작합니다. 이 작업은 모든 PSC 서비스가 실행된 후에 수행해야 합니다!
- 중지
service-control --all --stop
- 시작
service-control --all --start
- 프로세스가 시간 초과될 때까지 기다리거나 vmware-vmon 서비스에 도달하면 중지합니다.
/usr/lib/vmware-vmca/bin/certificate-manager
- 옵션 8 > Reset all Certificates를 선택합니다.
- 인증서 관리자 시작
- 확인
"Do you wish to generate all certificates using configuration file : Option[Y/N] ?"
- 자격 증명 입력
- PSC IP 입력
- 값 입력
- IPAddress 필드를 비워 둡니다.
- VCSA의 FQDN으로 호스트 이름을 입력합니다.
- VMCA Name 필드는 생성 중인 새 루트 CA의 이름입니다. 예: VxRail CA.
- 확인
"Continue operation : Option[Y/N] ?"
- 확인
"Continue operation : Option[Y/N] ?"
- 모든 인증서가 생성되고 완료 메시지가 나타날 때까지 기다립니다
"Reset status : 100% Completed [Reset completed successfully]"
- 모든 서비스가 실행 중인지 확인합니다.
service-control --all --status
- vCenter UI 액세스
- HSTS로 인해 Chrome에서 DNS를 통한 액세스가 실패합니다. VCSA IP를 열거나 FireFox와 같은 지원되는 다른 브라우저를 사용합니다.
시나리오 2의 경우 vCenter 인증서가 60일 이내에 만료되는 경우 VxRail Manager와 vCenter의 연결이 끊어지지 않도록 아래 절차에 따라 인증서를 미리 갱신하십시오.
- SSH를 통해 루트 사용자로 vCenter에 로그인합니다.
- 서비스 재시작
- 실행 중지
"service-control --stop --all"
- 시작 실행
"service-control --start --all"
- 모든 인증서 재설정
- 다음을 실행합니다.
"/usr/lib/vmware-vmca/bin/certificate-manager"
- 옵션 8 > Reset all Certificates를 선택합니다.
- vSphere 사용자 이름 및 암호 입력
- 인증서 속성 입력
- 작업을 확인한 다음 vCenter 루트 또는 머신 인증서가 갱신됩니다.
- 문서 Dell VxRail: VxRail Manager에서 vCenter SSL 인증서를 수동으로 가져오는 방법: 업데이트된 vCenter 및 CA 인증서를 VxRail Manager 신뢰 저장소로 가져오는 방법.
Additional Information
- 이 문서를 따르기 전에 항상 시스템 VM(PSC, VCSA 및 VRM)의 스냅샷을 촬영하십시오.
- 이 절차는 VxRail LCM을 통해 유지 관리되는 PSC VCSA VM을 위한 것입니다.
- 사용자에게 자체 인프라의 인증서가 있는 경우 지금 교체할 수 있습니다.
- VxRail 버전 4.7.100 이상에 대한 수정 후 KB 문서 Dell VxRail: VxRail Manager에서 vCenter SSL 인증서를 수동으로 가져오는 방법 에서 새 루트 인증서를 VRM으로 가져오는 방법(플러그인이 작동하지 않음)
Article Properties
Affected Product
VxRail Appliance Family, VxRail Appliance Series
Last Published Date
15 Mar 2024
Version
7
Article Type
Solution