Skip to main content
Sign Out

Welcome to Dell

My Account
  • Place orders quickly and easily
  • View orders and track your shipping status
  • Enjoy members-only rewards and discounts
  • Create and access a list of your products
  • Manage your Dell EMC sites, products, and product-level contacts using Company Administration.
Sign In Create an Account Dell Financial Services Premier Sign In Partner Program Sign In
Contact Us

Your Dell.com Carts

Article Number: 000082108

Dell VxRail: Kunne ikke logge på vCenter pga. udløbne certifikater

Summary: VxRail 4.5 og 4.7: Kunne ikke logge på vCenter pga. udløbne certifikater. Certifikaterne skal genudstedes. VxRail 7.0.480 eller nyere: Advarselscertifikatet udløber om mindre end 60 dage. Det anbefales at forny certifikatet på forhånd. ...

This article may have been automatically translated. If you have any feedback regarding its quality, please let us know using the form at the bottom of this page.

Article Content

Symptoms

Scenarie 1: vCenter-certifikatet er allerede udløbet. (For alle VxRail-versioner)

  • Kunne ikke logge på vCenter UI.
  • Ethvert logonforsøg, når webbrugergrænsefladen er tilgængelig, mislykkes, selv med korrekte legitimationsoplysninger.
Logon mislykkes, når de korrekte legitimationsoplysninger indtastes
  • Genstart af VCSA-tjenester mislykkes.
  • Genstart af tjenester bringer ikke alle tjenester op.
Konstaterede fejl:  
/var/log/vmware/vpxd-svcs/vpxd-svcs.log:
2020-06-03T09:31:04.523Z [pool-8-thread-1  INFO  com.vmware.identity.token.impl.X509TrustChainKeySelector  opId=905f6864-c067-4db6-828c-1d59c4b43bf8] Failed to find trusted path to signing certificate <CN=ssoserverSign>
sun.security.provider.certpath.SunCertPathBuilderException: unable to find valid certification path to requested target
        at sun.security.provider.certpath.SunCertPathBuilder.build(SunCertPathBuilder.java:141)


Scenarie 2: vCenter-certifikatet udløber om mindre end 60 dage. (For VxRail 7.0.480 og nyere versioner)

  • Log på vCenter Brugergrænsefladen er fuldført, men VxRail 7.0.480 og nyere versioner viser en advarsel på siden Konfigurer VxRail-klyngekonfiguration >> af VxRail-certifikat >>Alle tillidslagercertifikater , der angiver, at certifikatet udløber om mindre end 60 dage.
Der vises en advarselsmeddelelse om, at certifikatet udløber

Cause

vCenter-certifikater udløber eller udløber snart.
VxRail-versioner, der oprindeligt blev bygget før 4.7, kan have certifikater udstedt med en levetid på to år fra installationsdatoen. I skrivende stund har en VxRail, der bygger på 4.7.410, alle certifikater med en levetid på 10 år.

Mindre versionsopgraderinger berører ikke certifikaterne!
For en VxRail, der oprindeligt blev bygget på 4.5.210 og nyere versioner, har certifikaterne en gyldighedsperiode på to år. Se VMware-artiklen Checking Expiration of STS Certificate on vCenter Servers (79248) Dette hyperlink fører dig til et websted uden for Dell Technologies. for at bekræfte den detaljerede beskrivelse.

Brug visningscertifikatet i browseren på VCSA's logonside for at bekræfte, at certifikatet er udløbet, eller angiv certifikaterne i CLI for PSC VCSA med kommandoen fra VMware-artiklen "Signing certificate is not valid" -fejlen i VCSA 6.5.x,6.7.x eller vCenter Server 7.0.x, 8.0.x. (76719) Dette hyperlink fører dig til et websted uden for Dell Technologies. 
for i in $(/usr/lib/vmware-vmafd/bin/vecs-cli store list); do echo STORE $i; /usr/lib/vmware-vmafd/bin/vecs-cli entry list --store $i --text | egrep "Alias|Not After"; done

Resolution

I scenarie 1, hvor vCenter-certifikatet allerede er udløbet, skal du følge nedenstående procedure for at generere nye selvsignerede certifikater på PSC og VCSA.

 
Bemærk: Denne procedure er beregnet til enkelte PSC- eller VCSA-VM'er, som vedligeholdes via VxRail LCM. For HA-, ELM- eller kundeimplementerede VC'er skal du åbne en VMware-billet!
 
Bemærk: Tag OFFLINE snapshots af VRM, PSC og VCSA!
 
Bemærk: Kontroller, om processen til oprettelse af snapshot er afsluttet uden fejl! Fortsæt IKKE uden gyldige snapshots!
 
Bemærk: Hvis der opstår problemer, skal du ikke prøve igen uden at vende tilbage til snapshots!
 
  1. Løs problemer med PSC:
Nulstil alle certifikater (Dette mislykkes, men det forventes.)
  • Start Certificate Manager:     
/usr/lib/vmware-vmca/bin/certificate-manager
  • Vælg mulighed 8 >: Nulstil alle certifikater
    • Bekræfte
"Do you wish to generate all certificates using configuration file : Option[Y/N] ?"
  • Indtast legitimationsoplysninger
Certifikatadministrator – mulighed 8
  • Indtast værdier
    • Lad IPAddress-feltet være tomt
    • Indtast værtsnavn som FQDN for PSC
    • VMCA-navn-feltet er navnet på det nye rodnøglecenter, der oprettes, f.eks. VxRail CA.
  • Bekræfte
"Continue operation : Option[Y/N] ?"
  • Bekræfte
"Continue operation : Option[Y/N] ?"
  • Denne handling mislykkes med:
Get site nameCompleted [Reset Machine SSL Cert...]
g3node-site
Lookup all services
Get service xxxxxx-site:xxxxxxx-d202-4d8f-9282-xxxxxx317b8f
Update service xxxxxx-site:xxxxxxxx-d202-4d8f-9282-xxxxxx317b8f; spec: /tmp/svcspec_a1hipoqq

Status : 0% Completed [Reset operation failed]

please see /var/log/vmware/vmcad/certificate-manager.log for more information.
root@xxxxc [ ~ ]#
 
Skærmbillede af mislykket meddelelse
  1. Løs STS-problemet
 
Kør script fra VMware-artikel
  • Stop tjenester
service-control --all --stop
  • Start tjenester (Dette mislykkes, men det forventes)
service-control --all --start
Stop og start tjenester
  • Vent på, at der opstår timeout for processen, eller stop den, når den når til vmware-vmon-tjenesten 
/usr/lib/vmware-vmca/bin/certificate-manager
  • Vælg mulighed 6 >: Erstat løsningsbrugercertifikater med VMCA-certifikater
  • Bekræfte 
"Do you wish to generate all certificates using configuration file : Option[Y/N] ?"
  • Indtast legitimationsoplysninger
  • Afvis (indtast "N") for at omkonfigurere, da alle indstillinger blev konfigureret ovenfor
"certool.cfg file exists, Do you wish to reconfigure : Option[Y/N] ?"
  • Bekræfte
"You are going to regenerate Solution User Certificates using VMCA, Continue operation : Option[Y/N] ?"
  • Vent, indtil proceduren afsluttes. Denne procedure:
    • Genererer alle certifikater
    • Stopper tjenesterne
    • Starter tjenesterne
Generer certifikat
  • Bekræft , om alle tjenester kører
service-control --all --status
Bekræft, at tjenester kører 
  1. Ret certifikater på VCSA
Stop og start alle tjenester. Dette SKAL gøres, EFTER at alle PSC-tjenester kører!
  • Stop
service-control --all --stop
  • Start
service-control --all --start
 
Stop og start services, når PSC kører
  • Vent på, at der opstår timeout for processen, eller stop den, når den når til vmware-vmon-tjenesten 
/usr/lib/vmware-vmca/bin/certificate-manager
  • Vælg mulighed 8 >: Nulstil alle certifikater
  • Start certifikatstyring
  • Bekræfte
"Do you wish to generate all certificates using configuration file : Option[Y/N] ?"
  • Indtast legitimationsoplysninger
Indtast legitimationsoplysninger, og vælg Mulighed 8
  • Indtast PSC IP
  • Indtast værdier
    • Lad IPAddress-feltet være tomt
    • Indtast værtsnavn som FQDN for VCSA
    • VMCA-navn-feltet er navnet på det nye rodnøglecenter, der oprettes, f.eks. VxRail CA.
  • Bekræfte
"Continue operation : Option[Y/N] ?"
  • Bekræfte
"Continue operation : Option[Y/N] ?"
 
Indtast værdier, og bekræft, at du fortsætter driften
  • Vent, indtil alle certifikater er genereret, og der vises en meddelelse om, at fuldførelsen er gennemført
"Reset status : 100% Completed [Reset completed successfully]"
Meddelelse om nulstilling fuldført
 
Meddelelsen
  • Kontroller, at alle tjenester kører
service-control --all --status
 
Bekræft, at tjenester kører
  • Få adgang til vCenter-brugergrænsefladen
  • Adgang fra DNS mislykkes i Chrome på grund af HSTS. Åbn VCSA IP eller brug en anden understøttet browser såsom FireFox.
Chrome DNS-forbindelse ikke privat


Chrome IP-forbindelse fortsæt


For scenarie 2, hvor vCenter-certifikatet udløber om mindre end 60 dage, skal du følge nedenstående procedure for at forny certifikatet på forhånd for at undgå, at VxRail Manager afbrydes fra vCenter.

  1. Log på vCenter via SSH som rodbruger
  2. Genstart tjenester
  • Kør Stop
"service-control --stop --all"
  • Kør Start
"service-control --start --all"
  1. Nulstil alle certifikater
  • Kør:
"/usr/lib/vmware-vmca/bin/certificate-manager"
  • Vælg mulighed 8 >: Nulstil alle certifikater
Nulstil alle certifikater (mulighed 8)
  • Indtast vSphere-brugernavn og -adgangskode
Indtast vSphere-bruger og -adgangskode
  • Indtast certifikategenskaberne
Angiv egenskaber for certifikat
  • Bekræft handlingen, og derefter fornyes vCenter-rod- eller maskincertifikaterneBekræft, at certifikater er fornyet
  1. Følg artiklen Dell VxRail: Sådan importeres vCenter SSL-certifikat manuelt på VxRail Manager for at importere de opdaterede vCenter- og CA-certifikater til VxRail Manager-tillidslageret.

Additional Information

  • Tag ALTID snapshots af System VM'er (PSC, VCSA og VRM), før du følger denne artikel.
  • Denne procedure er beregnet til PSC VCSA VM'er, som vedligeholdes via VxRail LCM.
  • Hvis brugeren har certifikater fra sin egen infrastruktur, kan vedkommende erstatte dem nu.
  • Efter rettelse til VxRail version 4.7.100 og nyere skal du følge KB-artiklen Dell VxRail: Sådan importeres vCenter SSL-certifikat manuelt på VxRail Manager for at importere et nyt rodcertifikat til VRM (plug-in virker ikke).

Article Properties

Affected Product

VxRail Appliance Family, VxRail Appliance Series

Last Published Date

15 Mar 2024

Version

7

Article Type

Solution

Back to Top