Tilanne 1: vCenter-varmenne on jo vanhentunut. (kaikki VxRail-versiot)
- Kirjautuminen vCenter-käyttöliittymään ei onnistu.
- Kaikki kirjautumisyritykset, kun verkkokäyttöliittymä on käytettävissä, epäonnistuvat edes oikeilla tunnistetiedoilla.
- VCSA-palvelujen uudelleenkäynnistys epäonnistuu.
- Palveluiden uudelleenkäynnistys ei tuo esiin kaikkia palveluita.
Havaitut virheet:
/var/log/vmware/vpxd-svcs/vpxd-svcs.log:
2020-06-03T09:31:04.523Z [pool-8-thread-1 INFO com.vmware.identity.token.impl.X509TrustChainKeySelector opId=905f6864-c067-4db6-828c-1d59c4b43bf8] Failed to find trusted path to signing certificate <CN=ssoserverSign>
sun.security.provider.certpath.SunCertPathBuilderException: unable to find valid certification path to requested target
at sun.security.provider.certpath.SunCertPathBuilder.build(SunCertPathBuilder.java:141)
Tilanne 2: vCenter-varmenne vanhenee alle 60 päivän kuluttua. (VxRail 7.0.480 ja uudemmat)
- Kirjautuminen vCenter-käyttöliittymään on valmis, mutta VxRail 7.0.480:ssa ja sitä uudemmissa versioissa näkyy varoitus VxRail-klusterissa > Määritä > VxRail-varmenne >>Kaikki luottamussäilön varmenteet -sivulla ilmoitetaan, että varmenne vanhenee alle 60 päivän kuluttua.
vCenter-varmenteet ovat vanhentuneet tai vanhenevat pian.
VxRail-versioissa, jotka on alun perin valmistettu ennen versiota 4.7, voi olla sertifikaatit, jotka on myönnetty kahden vuoden ajaksi asennuspäivästä. Tätä artikkelia kirjoitettaessa VxRail-koontiversiossa 4.7.410 on kaikki varmenteet, joiden käyttöikä on 10 vuotta.
Pienet versiopäivitykset eivät koske varmenteita!
VxRailille, joka rakennettiin alun perin versiolle 4.5.210 ja sitä uudemmille versioille, varmenteet ovat voimassa kaksi vuotta. Vahvista yksityiskohtainen kuvaus VMwaren artikkelista
STS-varmenteen vanhenemisen tarkistaminen vCenter-palvelimissa (79248).
Varmista varmenteen vanhentuminen VCSA:n kirjautumissivun selaimen näkymävarmenteella tai näytä varmenteet PSC VCSA:n komentoriviliittymässä komennolla
"Allekirjoitusvarmenne ei kelpaa" -virheestä VCSA 6.5.x,6.7.x:ssä tai vCenter Server 7.0.x:ssä tai 8.0.x:ssä. (76719)
for i in $(/usr/lib/vmware-vmafd/bin/vecs-cli store list); do echo STORE $i; /usr/lib/vmware-vmafd/bin/vecs-cli entry list --store $i --text | egrep "Alias|Not After"; done
Jos vCenter-varmenne on jo vanhentunut tilanteessa 1, luo uudet itse allekirjoitetut varmenteet PSC:hen ja VCSA:han seuraavien ohjeiden mukaisesti.
Huomautus: Tämä toimenpide on tarkoitettu yksittäisille PSC- tai VCSA-virtuaalikoneille, joita ylläpidetään VxRail LCM:n kautta. Jos kyseessä on HA, ELM tai asiakkaan käyttöön ottama virtuaalikone, avaa VMware-palvelupyyntö!
Huomautus: Ota OFFLINE-tilannekuvia VRM:stä, PSC:stä ja VCSA:sta!
Huomautus: Tarkista, onko tilannevedos luotu ilman virheitä! ÄLÄ jatka ilman kelvollisia tilannevedoksia!
Huomautus: Jos ongelmia ilmenee, älä yritä uudelleen palaamatta tilannevedoksiin!
- Korjaa PSC:
Nollaa kaikki varmenteet (Tämä epäonnistuu, mutta se on odotettavissa.)
- Käynnistä varmenteiden hallinta:
/usr/lib/vmware-vmca/bin/certificate-manager
- Valitse vaihtoehto 8 >: Nollaa kaikki varmenteet
"Do you wish to generate all certificates using configuration file : Option[Y/N] ?"
- Anna arvot
- Jätä IPAddress-kenttä tyhjäksi
- Kirjoita isäntänimi PSC:n FQDN:nä
- VMCA-nimikenttä on luotavan uuden varmenteen myöntäjän nimi, esimerkiksi VxRail CA.
- Vahvista
"Continue operation : Option[Y/N] ?"
"Continue operation : Option[Y/N] ?"
- Tämä toiminto epäonnistuu, kun
Get site nameCompleted [Reset Machine SSL Cert...]
g3node-site
Lookup all services
Get service xxxxxx-site:xxxxxxx-d202-4d8f-9282-xxxxxx317b8f
Update service xxxxxx-site:xxxxxxxx-d202-4d8f-9282-xxxxxx317b8f; spec: /tmp/svcspec_a1hipoqq
Status : 0% Completed [Reset operation failed]
please see /var/log/vmware/vmcad/certificate-manager.log for more information.
root@xxxxc [ ~ ]#
- Korjaa YLS-ongelma
service-control --all --stop
- Käynnistä palvelut (tämä epäonnistuu, mutta se on odotettavissa)
service-control --all --start
- Odota, että prosessi aikakatkaistaan, tai pysäytä se, kun se saapuu vmware-vmon-palveluun
/usr/lib/vmware-vmca/bin/certificate-manager
- Valitse vaihtoehto 6>: Korvaa ratkaisun käyttäjävarmenteet VMCA-varmenteilla
- Vahvista
"Do you wish to generate all certificates using configuration file : Option[Y/N] ?"
- Anna tunnistetiedot
- Estä (syötä "N") uudelleenmääritystä varten, koska kaikki vaihtoehdot on määritetty yllä
"certool.cfg file exists, Do you wish to reconfigure : Option[Y/N] ?"
"You are going to regenerate Solution User Certificates using VMCA, Continue operation : Option[Y/N] ?"
- Odota, kunnes toimenpide suljetaan. Tämä menettely:
- Luo kaikki varmenteet
- Pysäyttää palvelut
- Käynnistää palvelut
- Tarkista , ovatko kaikki palvelut käynnissä
service-control --all --status
- Varmenteiden korjaaminen VCSA:ssa
Pysäytä ja käynnistä kaikki palvelut. Tämä TÄYTYY tehdä SEN JÄLKEEN, kun kaikki PSC-palvelut ovat käynnissä!
service-control --all --stop
service-control --all --start
- Odota, että prosessi aikakatkaistaan, tai pysäytä se, kun se saapuu vmware-vmon-palveluun
/usr/lib/vmware-vmca/bin/certificate-manager
- Valitse vaihtoehto 8 >: Nollaa kaikki varmenteet
- Käynnistä varmenteiden hallinta
- Vahvista
"Do you wish to generate all certificates using configuration file : Option[Y/N] ?"
- Anna PSC:n IP-osoite
- Anna arvot
- Jätä IPAddress-kenttä tyhjäksi
- Kirjoita isäntänimi VCSA:n toimialuenimeksi
- VMCA-nimikenttä on luotavan uuden varmenteen myöntäjän nimi, esimerkiksi VxRail CA.
- Vahvista
"Continue operation : Option[Y/N] ?"
"Continue operation : Option[Y/N] ?"
- Odota, kunnes kaikki varmenteet on luotu ja ilmoitus onnistuneesta valmistumisesta tulee näkyviin
"Reset status : 100% Completed [Reset completed successfully]"
- Tarkista, että kaikki palvelut ovat käynnissä
service-control --all --status
- vCenter-käyttöliittymän käyttäminen
- DNS:n käyttö epäonnistuu Chromessa HSTS:n vuoksi. Avaa VCSA:n IP-osoite tai käytä toista tuettua selainta, kuten Firefoxia.
Jos vCenter-varmenne vanhenee alle 60 päivän kuluttua, uusi varmenne etukäteen seuraavien ohjeiden mukaisesti, jotta VxRail Manager ei katkaise yhteyttä vCenteriin.
- Kirjaudu vCenteriin SSH:n kautta pääkäyttäjänä
- Käynnistä palvelut uudelleen
"service-control --stop --all"
"service-control --start --all"
- Nollaa kaikki varmenteet
"/usr/lib/vmware-vmca/bin/certificate-manager"
- Valitse vaihtoehto 8 >: Nollaa kaikki varmenteet
- Anna vSphere-käyttäjätunnus ja -salasana
- Syötä varmenteen ominaisuudet
- Vahvista toiminto ja sitten vCenter-pääkäyttäjä tai laite Varmenteet uusitaan
![Varmenteiden uusimisen vahvistaminen](https://supportkb.dell.com/img/ka06P0000008vxDQAQ/ka06P0000008vxDQAQ_fi_4.jpeg)
- Seuraava artikkeli Dell VxRail: VxRail Managerin vCenter SSL -varmenteen manuaalinen tuonti vxRail Manageriin päivitettyjen vCenter- ja CA-varmenteiden tuomiseksi VxRail Managerin luottamussäilöön.