Skip to main content
Sign Out

Welcome to Dell

My Account
  • Place orders quickly and easily
  • View orders and track your shipping status
  • Enjoy members-only rewards and discounts
  • Create and access a list of your products
  • Manage your Dell EMC sites, products, and product-level contacts using Company Administration.
Sign In Create an Account Dell Financial Services Premier Sign In Partner Program Sign In
Contact Us

Your Dell.com Carts

Article Number: 000082108

Dell VxRail: Kirjautuminen vCenteriin ei onnistu vanhentuneiden varmenteiden vuoksi

Summary: VxRail 4.5 ja 4.7: Kirjautuminen vCenteriin ei onnistu vanhentuneiden varmenteiden vuoksi. Todistukset on myönnettävä uudelleen. VxRail 7.0.480 tai uudempi: Varoitusvarmenne vanhenee alle 60 päivässä, suosittele varmenteen uusimista etukäteen. ...

This article may have been automatically translated. If you have any feedback regarding its quality, please let us know using the form at the bottom of this page.

Article Content

Symptoms

Tilanne 1: vCenter-varmenne on jo vanhentunut. (kaikki VxRail-versiot)

  • Kirjautuminen vCenter-käyttöliittymään ei onnistu.
  • Kaikki kirjautumisyritykset, kun verkkokäyttöliittymä on käytettävissä, epäonnistuvat edes oikeilla tunnistetiedoilla.
Kirjautuminen epäonnistuu, kun oikeat tunnistetiedot annetaan
  • VCSA-palvelujen uudelleenkäynnistys epäonnistuu.
  • Palveluiden uudelleenkäynnistys ei tuo esiin kaikkia palveluita.
Havaitut virheet:  
/var/log/vmware/vpxd-svcs/vpxd-svcs.log:
2020-06-03T09:31:04.523Z [pool-8-thread-1  INFO  com.vmware.identity.token.impl.X509TrustChainKeySelector  opId=905f6864-c067-4db6-828c-1d59c4b43bf8] Failed to find trusted path to signing certificate <CN=ssoserverSign>
sun.security.provider.certpath.SunCertPathBuilderException: unable to find valid certification path to requested target
        at sun.security.provider.certpath.SunCertPathBuilder.build(SunCertPathBuilder.java:141)


Tilanne 2: vCenter-varmenne vanhenee alle 60 päivän kuluttua. (VxRail 7.0.480 ja uudemmat)

  • Kirjautuminen vCenter-käyttöliittymään on valmis, mutta VxRail 7.0.480:ssa ja sitä uudemmissa versioissa näkyy varoitus VxRail-klusterissa > Määritä > VxRail-varmenne >>Kaikki luottamussäilön varmenteet -sivulla ilmoitetaan, että varmenne vanhenee alle 60 päivän kuluttua.
Näyttöön tuli varoitusviesti, että varmenne vanhenee

Cause

vCenter-varmenteet ovat vanhentuneet tai vanhenevat pian.
VxRail-versioissa, jotka on alun perin valmistettu ennen versiota 4.7, voi olla sertifikaatit, jotka on myönnetty kahden vuoden ajaksi asennuspäivästä. Tätä artikkelia kirjoitettaessa VxRail-koontiversiossa 4.7.410 on kaikki varmenteet, joiden käyttöikä on 10 vuotta.

Pienet versiopäivitykset eivät koske varmenteita!
VxRailille, joka rakennettiin alun perin versiolle 4.5.210 ja sitä uudemmille versioille, varmenteet ovat voimassa kaksi vuotta. Vahvista yksityiskohtainen kuvaus VMwaren artikkelista STS-varmenteen vanhenemisen tarkistaminen vCenter-palvelimissa (79248). Tämä hyperlinkki johtaa Dell Technologiesin ulkopuoliseen sivustoon.

Varmista varmenteen vanhentuminen VCSA:n kirjautumissivun selaimen näkymävarmenteella tai näytä varmenteet PSC VCSA:n komentoriviliittymässä komennolla "Allekirjoitusvarmenne ei kelpaa" -virheestä VCSA 6.5.x,6.7.x:ssä tai vCenter Server 7.0.x:ssä tai 8.0.x:ssä. (76719) Tämä hyperlinkki johtaa Dell Technologiesin ulkopuoliseen sivustoon. 
for i in $(/usr/lib/vmware-vmafd/bin/vecs-cli store list); do echo STORE $i; /usr/lib/vmware-vmafd/bin/vecs-cli entry list --store $i --text | egrep "Alias|Not After"; done

Resolution

Jos vCenter-varmenne on jo vanhentunut tilanteessa 1, luo uudet itse allekirjoitetut varmenteet PSC:hen ja VCSA:han seuraavien ohjeiden mukaisesti.

 
Huomautus: Tämä toimenpide on tarkoitettu yksittäisille PSC- tai VCSA-virtuaalikoneille, joita ylläpidetään VxRail LCM:n kautta. Jos kyseessä on HA, ELM tai asiakkaan käyttöön ottama virtuaalikone, avaa VMware-palvelupyyntö!
 
Huomautus: Ota OFFLINE-tilannekuvia VRM:stä, PSC:stä ja VCSA:sta!
 
Huomautus: Tarkista, onko tilannevedos luotu ilman virheitä! ÄLÄ jatka ilman kelvollisia tilannevedoksia!
 
Huomautus: Jos ongelmia ilmenee, älä yritä uudelleen palaamatta tilannevedoksiin!
 
  1. Korjaa PSC:
Nollaa kaikki varmenteet (Tämä epäonnistuu, mutta se on odotettavissa.)
  • Käynnistä varmenteiden hallinta:     
/usr/lib/vmware-vmca/bin/certificate-manager
  • Valitse vaihtoehto 8 >: Nollaa kaikki varmenteet
    • Vahvista
"Do you wish to generate all certificates using configuration file : Option[Y/N] ?"
  • Anna tunnistetiedot
Varmenteiden hallinta – Valinnainen versio 8
  • Anna arvot
    • Jätä IPAddress-kenttä tyhjäksi
    • Kirjoita isäntänimi PSC:n FQDN:nä
    • VMCA-nimikenttä on luotavan uuden varmenteen myöntäjän nimi, esimerkiksi VxRail CA.
  • Vahvista
"Continue operation : Option[Y/N] ?"
  • Vahvista
"Continue operation : Option[Y/N] ?"
  • Tämä toiminto epäonnistuu, kun
Get site nameCompleted [Reset Machine SSL Cert...]
g3node-site
Lookup all services
Get service xxxxxx-site:xxxxxxx-d202-4d8f-9282-xxxxxx317b8f
Update service xxxxxx-site:xxxxxxxx-d202-4d8f-9282-xxxxxx317b8f; spec: /tmp/svcspec_a1hipoqq

Status : 0% Completed [Reset operation failed]

please see /var/log/vmware/vmcad/certificate-manager.log for more information.
root@xxxxc [ ~ ]#
 
Näyttökuva epäonnistumisviestistä
  1. Korjaa YLS-ongelma
 
Suorita komentosarja VMware-artikkelista
  • Pysäytä palvelut
service-control --all --stop
  • Käynnistä palvelut (tämä epäonnistuu, mutta se on odotettavissa)
service-control --all --start
Pysäytä ja käynnistä palvelut
  • Odota, että prosessi aikakatkaistaan, tai pysäytä se, kun se saapuu vmware-vmon-palveluun 
/usr/lib/vmware-vmca/bin/certificate-manager
  • Valitse vaihtoehto 6>: Korvaa ratkaisun käyttäjävarmenteet VMCA-varmenteilla
  • Vahvista 
"Do you wish to generate all certificates using configuration file : Option[Y/N] ?"
  • Anna tunnistetiedot
  • Estä (syötä "N") uudelleenmääritystä varten, koska kaikki vaihtoehdot on määritetty yllä
"certool.cfg file exists, Do you wish to reconfigure : Option[Y/N] ?"
  • Vahvista
"You are going to regenerate Solution User Certificates using VMCA, Continue operation : Option[Y/N] ?"
  • Odota, kunnes toimenpide suljetaan. Tämä menettely:
    • Luo kaikki varmenteet
    • Pysäyttää palvelut
    • Käynnistää palvelut
Luo varmenne
  • Tarkista , ovatko kaikki palvelut käynnissä
service-control --all --status
Vahvista, että palvelut ovat käynnissä 
  1. Varmenteiden korjaaminen VCSA:ssa
Pysäytä ja käynnistä kaikki palvelut. Tämä TÄYTYY tehdä SEN JÄLKEEN, kun kaikki PSC-palvelut ovat käynnissä!
  • Pysäytys
service-control --all --stop
  • Käynnistä
service-control --all --start
 
Palvelujen pysäyttäminen ja käynnistäminen, kun PSC on käynnissä
  • Odota, että prosessi aikakatkaistaan, tai pysäytä se, kun se saapuu vmware-vmon-palveluun 
/usr/lib/vmware-vmca/bin/certificate-manager
  • Valitse vaihtoehto 8 >: Nollaa kaikki varmenteet
  • Käynnistä varmenteiden hallinta
  • Vahvista
"Do you wish to generate all certificates using configuration file : Option[Y/N] ?"
  • Anna tunnistetiedot
Anna tunnistetiedot ja valitse vaihtoehto 8
  • Anna PSC:n IP-osoite
  • Anna arvot
    • Jätä IPAddress-kenttä tyhjäksi
    • Kirjoita isäntänimi VCSA:n toimialuenimeksi
    • VMCA-nimikenttä on luotavan uuden varmenteen myöntäjän nimi, esimerkiksi VxRail CA.
  • Vahvista
"Continue operation : Option[Y/N] ?"
  • Vahvista
"Continue operation : Option[Y/N] ?"
 
Syötä arvot ja vahvista toiminnan jatkaminen
  • Odota, kunnes kaikki varmenteet on luotu ja ilmoitus onnistuneesta valmistumisesta tulee näkyviin
"Reset status : 100% Completed [Reset completed successfully]"
Nollaus suoritettu onnistuneesti -ilmoitus
 
Nollaus valmis ja viesti jatkuu
  • Tarkista, että kaikki palvelut ovat käynnissä
service-control --all --status
 
Vahvista, että palvelut ovat käynnissä
  • vCenter-käyttöliittymän käyttäminen
  • DNS:n käyttö epäonnistuu Chromessa HSTS:n vuoksi. Avaa VCSA:n IP-osoite tai käytä toista tuettua selainta, kuten Firefoxia.
Chrome DNS -yhteys ei ole yksityinen


Chromen IP-yhteyden muodostaminen jatkuu


Jos vCenter-varmenne vanhenee alle 60 päivän kuluttua, uusi varmenne etukäteen seuraavien ohjeiden mukaisesti, jotta VxRail Manager ei katkaise yhteyttä vCenteriin.

  1. Kirjaudu vCenteriin SSH:n kautta pääkäyttäjänä
  2. Käynnistä palvelut uudelleen
  • Suorita pysäytys
"service-control --stop --all"
  • Suorita aloitus
"service-control --start --all"
  1. Nollaa kaikki varmenteet
  • Suorita:
"/usr/lib/vmware-vmca/bin/certificate-manager"
  • Valitse vaihtoehto 8 >: Nollaa kaikki varmenteet
Nollaa kaikki varmenteet (valinnainen 8)
  • Anna vSphere-käyttäjätunnus ja -salasana
Anna vSphere-käyttäjä ja -salasana
  • Syötä varmenteen ominaisuudet
Anna varmenteen ominaisuudet
  • Vahvista toiminto ja sitten vCenter-pääkäyttäjä tai laite Varmenteet uusitaanVarmenteiden uusimisen vahvistaminen
  1. Seuraava artikkeli Dell VxRail: VxRail Managerin vCenter SSL -varmenteen manuaalinen tuonti vxRail Manageriin päivitettyjen vCenter- ja CA-varmenteiden tuomiseksi VxRail Managerin luottamussäilöön.

Additional Information

  • Ota AINA tilannevedos järjestelmän virtuaalikoneista (PSC, VCSA ja VRM) ennen tämän artikkelin seuraamista.
  • Tämä toimenpide on tarkoitettu PSC VCSA-virtuaalikoneille, joita ylläpidetään VxRail LCM:n kautta.
  • Jos käyttäjällä on oman infrastruktuurin varmenteita, hän voi korvata ne nyt.
  • Kun olet korjannut VxRail-version 4.7.100 ja uudemmat, katso lisätietoja tietämyskannan artikkelista Dell VxRail: VxRail Managerin vCenter SSL -varmenteen manuaalinen tuonti uuden päävarmenteen tuomiseksi VRM:ään (laajennus ei toimi).

Article Properties

Affected Product

VxRail Appliance Family, VxRail Appliance Series

Last Published Date

15 Mar 2024

Version

7

Article Type

Solution

Back to Top