VxRail: Nie można zalogować się do vCenter z powodu wygaśnięcia certyfikatów

Scenariusz 1: Certyfikat vCenter już wygasł. (Dotyczy wszystkich wersji VxRail)

• Nie można zalogować się do interfejsu użytkownika vCenter.
• Każda próba zalogowania, gdy dostępny jest sieciowy interfejs użytkownika, kończy się niepowodzeniem nawet przy użyciu poprawnych poświadczeń.
  
• Ponowne uruchomienie usług vCenter Server Appliance (VCSA) nie powiodło się.
• Ponowne uruchomienie usług nie powoduje wyświetlenia wszystkich usług.

/var/log/vmware/vpxd-svcs/vpxd-svcs.log:
2020-06-03T09:31:04.523Z [pool-8-thread-1  INFO  com.vmware.identity.token.impl.X509TrustChainKeySelector  opId=905f6864-c067-4db6-828c-1d59c4b43bf8] Failed to find trusted path to signing certificate <CN=ssoserverSign>
sun.security.provider.certpath.SunCertPathBuilderException: unable to find valid certification path to requested target
        at sun.security.provider.certpath.SunCertPathBuilder.build(SunCertPathBuilder.java:141)

Scenariusz 2: Certyfikat vCenter wygasa po mniej niż 60 dniach. (Dla VxRail 7.0.480 i nowszych wersji)

• Logowanie do interfejsu użytkownika vCenter zostało zakończone, ale VxRail 7.0.480 i nowsze wersje wyświetlają ostrzeżenie w klastrze VxRail Strona > konfiguracji > certyfikatu > VxRail >Wszystkie certyfikaty magazynu zaufania z informacją, że certyfikat wygasa za mniej niż 60 dni.
  

Certyfikaty vCenter wygasły lub wkrótce wygasną.
Wersje VxRail, które zostały pierwotnie zbudowane przed wersją 4.7, mogą mieć certyfikaty z okresem ważności wynoszącym dwa lata od daty instalacji. W chwili pisania tego artykułu kompilacja VxRail w wersji 4.7.410 ma wszystkie certyfikaty z 10-letnim okresem eksploatacji.

Uaktualnienia wersji pomocniczych nie mają wpływu na certyfikaty!
W przypadku rozwiązania VxRail, które początkowo było oparte na wersji 4.5.210 i nowszych, certyfikaty mają dwuletni okres ważności. Aby potwierdzić szczegółowy opis, zapoznaj się z artykułem VMware dotyczącym sprawdzania wygaśnięcia certyfikatu STS usługi VMware Security Token Service (STS) na serwerach vCenter Server (79248).

Aby potwierdzić, że certyfikat wygasł, wyświetl certyfikat w przeglądarce na stronie logowania VCSA. Możesz też wyświetlić listę certyfikatów w interfejsie wiersza polecenia kontrolera usług platformy (PSC) (VCSA). Zapoznaj się z poleceniami z artykułu VMware Podpisywanie certyfikatu jest nieprawidłowe" w VCSA 6.5.x, 6.7.x lub vCenter Server 7.0.x, 8.0.x. (76719)

for i in $(/usr/lib/vmware-vmafd/bin/vecs-cli store list); do echo STORE $i; /usr/lib/vmware-vmafd/bin/vecs-cli entry list --store $i --text | egrep "Alias|Not After"; done

W przypadku scenariusza 1, gdy certyfikat vCenter już wygasł, wykonaj poniższą procedurę, aby wygenerować nowe certyfikaty z podpisem własnym na PSC i VCSA.

1. Poprawka PSC:
   Zresetuj wszystkie certyfikaty (Nie powiedzie się, ale zgodnie z oczekiwaniami).

   • Uruchom menedżera certyfikatów:

     /usr/lib/vmware-vmca/bin/certificate-manager

   • Wybierz opcję 8 > Resetuj wszystkie certyfikaty
     • Zatwierdź

       "Do you wish to generate all certificates using configuration file : Option[Y/N] ?"

     • Wprowadzanie poświadczeń
       
     • Wprowadź wartości
       • Pozostaw puste pole "IPAddress"
       • Wprowadź nazwę hosta jako w pełni kwalifikowaną nazwę domeny (FQDN) PSC
       • Pole nazwy VMware Certificate Authority (VMCA) to nazwa nowo tworzonego głównego urzędu certyfikacji, na przykład VxRail CA.
     • Zatwierdź

       "Continue operation : Option[Y/N] ?"

     • Zatwierdź

       "Continue operation : Option[Y/N] ?"

       • Ta operacja kończy się niepowodzeniem z następującymi informacjami:

         Get site nameCompleted [Reset Machine SSL Cert...]
         g3node-site
         Lookup all services
         Get service xxxxxx-site:xxxxxxx-d202-4d8f-9282-xxxxxx317b8f
         Update service xxxxxx-site:xxxxxxxx-d202-4d8f-9282-xxxxxx317b8f; spec: /tmp/svcspec_a1hipoqq
         
         Status : 0% Completed [Reset operation failed]
         
         please see /var/log/vmware/vmcad/certificate-manager.log for more information.
         root@xxxxc [ ~ ]#

         

     • Rozwiązano problem
       z usługą STS Pobierz i uruchom skrypt z błędu artykułu VMware "Signing certificate is invalid" w VCSA 6.5.x,6.7.x lub vCenter Server 7.0.x, 8.0.x. (76719)
       

       • Zatrzymywanie usług

         service-control --all --stop

       • Uruchom usługi (niepowodzenie, ale zgodnie z oczekiwaniami)

         service-control --all --start

         
       • Poczekaj, aż upłynie limit czasu procesu, lub zatrzymaj go, gdy przejdzie do usługi "vmware-vmon"

         /usr/lib/vmware-vmca/bin/certificate-manager

       • Wybierz opcję 6 > "Zastąp certyfikaty użytkownika rozwiązania certyfikatami VMCA"
       • Zatwierdź

         "Do you wish to generate all certificates using configuration file : Option[Y/N] ?"

       • Wprowadzanie poświadczeń
       • Odmów (wpisz "N") przy ponownej konfiguracji, ponieważ wszystkie opcje zostały skonfigurowane powyżej

         "certool.cfg file exists, Do you wish to reconfigure : Option[Y/N] ?"

       • Zatwierdź

         "You are going to regenerate Solution User Certificates using VMCA, Continue operation : Option[Y/N] ?"

       • Poczekaj na zakończenie procedury. Ta procedura:
         • Generuje wszystkie certyfikaty.
         • Zatrzymuje usługi.
         • Uruchamia usługi.
           
       • Potwierdź, czy wszystkie usługi są uruchomione

         service-control --all --status

         

     • Napraw certyfikaty na VCSA
       Zatrzymaj i uruchom wszystkie usługi. Należy to zrobić PO uruchomieniu wszystkich usług PSC!

       • Zatrzymanie

         service-control --all --stop

       • Start

         service-control --all --start

         
       • Poczekaj, aż upłynie limit czasu procesu, lub zatrzymaj go, gdy dotrze do usługi vmware-vmon

         /usr/lib/vmware-vmca/bin/certificate-manager

       • Wybierz opcję 8 > Resetuj wszystkie certyfikaty
       • Uruchom menedżera certyfikatów
       • Zatwierdź

         "Do you wish to generate all certificates using configuration file : Option[Y/N] ?"

       • Wprowadzanie poświadczeń
         
       • Wprowadź adres IP PSC
       • Wprowadź wartości
         • Pozostaw puste pole IPAddress
         • Wprowadź nazwę hosta jako FQDN VCSA
         • Pole VMCA Name to nazwa nowego tworzonego głównego urzędu certyfikacji, na przykład VxRail CA.
       • Zatwierdź

         "Continue operation : Option[Y/N] ?"

       • Zatwierdź

         "Continue operation : Option[Y/N] ?"

         
       • Poczekaj, aż wszystkie certyfikaty zostaną wygenerowane i pojawi się komunikat o pomyślnym zakończeniu

         "Reset status : 100% Completed [Reset completed successfully]"

         
          
         
       • Sprawdź, czy wszystkie usługi są uruchomione

         service-control --all --status

         
       • Dostęp do interfejsu użytkownika vCenter
       • Dostęp przez wpis DNS (Domain Name System) w przeglądarce Chrome nie powiódł się z powodu protokołu HTTP Strict Transport Security (HSTS). Otwórz adres IP VCSA lub użyj innej obsługiwanej przeglądarki, takiej jak FireFox.
         
         

W przypadku scenariusza 2, gdy certyfikat vCenter wygasa za mniej niż 60 dni, wykonaj poniższą procedurę, aby odnowić certyfikat z wyprzedzeniem, aby uniknąć rozłączenia VxRail Manager z vCenter.

1. Zaloguj się do vCenter przez SSH jako użytkownik główny

2. Uruchom ponownie usługi

   • Zatrzymaj bieg

     "service-control --stop --all"

   • Rozpoczęcie biegu

     "service-control --start --all"

3. Resetowanie wszystkich certyfikatów

   • Uruchom:

     "/usr/lib/vmware-vmca/bin/certificate-manager"

   • Wybierz opcję 8 > Resetuj wszystkie certyfikaty
     
   • Wprowadź nazwę użytkownika i hasło vSphere
     
   • Wprowadź właściwości certyfikatu
     
   • Potwierdź operację, a następnie odnowisz certyfikaty użytkownika głównego lub komputera vCenter
     

4. Postępuj zgodnie z artykułem Dell VxRail: Ręczne importowanie certyfikatu SSL vCenter w programie VxRail Manager w celu zaimportowania zaktualizowanych certyfikatów vCenter i CA do magazynu zaufanych certyfikatów VxRail Manager.

• ZAWSZE wykonuj migawki systemowych maszyn wirtualnych (PSC, VCSA i VRM) przed wykonaniem tego artykułu.
• Ta procedura jest przeznaczona dla maszyn wirtualnych PSC VCSA, które są utrzymywane przez VxRail LCM.

• Jeśli użytkownik ma certyfikaty z własnej infrastruktury, może je teraz zastąpić.
• Po naprawie dla VxRail w wersji 4.7.100 lub nowszej postępuj zgodnie z artykułem bazy wiedzy Dell VxRail: Ręczne importowanie certyfikatu SSL vCenter w programie VxRail Manager w celu zaimportowania nowego certyfikatu głównego do VRM (wtyczka nie działa).