1. scénář: Platnost certifikátu vCenter již vypršela. (pro všechny verze VxRail)
- Nelze se přihlásit do uživatelského rozhraní vCenter.
- Jakýkoli pokus o přihlášení, když je k dispozici webové uživatelské rozhraní, selže, a to i se správnými přihlašovacími údaji.
- Restartování služeb VCSA se nezdařilo.
- Restartování služeb nezobrazí všechny služby.
Zobrazené chyby:
/var/log/vmware/vpxd-svcs/vpxd-svcs.log:
2020-06-03T09:31:04.523Z [pool-8-thread-1 INFO com.vmware.identity.token.impl.X509TrustChainKeySelector opId=905f6864-c067-4db6-828c-1d59c4b43bf8] Failed to find trusted path to signing certificate <CN=ssoserverSign>
sun.security.provider.certpath.SunCertPathBuilderException: unable to find valid certification path to requested target
at sun.security.provider.certpath.SunCertPathBuilder.build(SunCertPathBuilder.java:141)
Scénář 2: Platnost certifikátu vCenter vyprší za méně než 60 dní. (Pro verzi VxRail 7.0.480 a vyšší)
- Přihlášení k uživatelskému rozhraní vCenter je dokončeno, ale VxRail 7.0.480 a novější verze zobrazují na stránce Configure > VxRail >> Certificate >All TrustStore Certificates varování s informací, že platnost certifikátu vyprší za méně než 60 dní.
Platnost certifikátů vCenter vypršela nebo brzy vyprší
.Verze VxRail, které byly původně vyrobeny před verzí 4.7, mohou mít certifikáty s životností dva roky od data instalace. V době psaní tohoto článku má zařízení VxRail verze 4.7.410 všechny certifikáty s 10letou životností.
Upgrady podverze se nedotýkají certifikátů!
Pro systém VxRail, který byl původně vytvořen na verzi 4.5.210 a novějších verzích, mají certifikáty dvouletou dobu platnosti. Podrobný popis naleznete v článku společnosti VMware
Kontrola vypršení platnosti certifikátu STS na serverech vCenter (79248).
Pomocí zobrazení certifikátu v prohlížeči na přihlašovací stránce VCSA potvrďte, že platnost certifikátu vypršela, nebo zobrazte certifikáty v rozhraní příkazového řádku PSC VCSA pomocí příkazu z článku VMware
"Signing certificate is not valid" ve verzi VCSA 6.5.x,6.7.x nebo vCenter Server 7.0.x, 8.0.x. (76719)
for i in $(/usr/lib/vmware-vmafd/bin/vecs-cli store list); do echo STORE $i; /usr/lib/vmware-vmafd/bin/vecs-cli entry list --store $i --text | egrep "Alias|Not After"; done
V případě scénáře 1, kdy platnost certifikátu vCenter již vypršela, postupujte podle níže uvedeného postupu a vygenerujte nové certifikáty podepsané držitelem na službách PSC a VCSA.
Poznámka: Tento postup je určen pro jednotlivé virtuální počítače PSC nebo VCSA, které jsou udržovány prostřednictvím VxRail LCM. V případě řešení HA, ELM nebo virtuálních počítačů nasazených zákazníkem otevřete lístek VMware!
Poznámka: Pořizujte OFFLINE snímky VRM, PSC a VCSA!
Poznámka: Zkontrolujte, zda se snapshot vytvořil bez chyb! NEPOKRAČUJTE bez platných snapshotů!
Poznámka: Pokud dojde k problémům, neopakujte akci bez vrácení snapshotů!
- Oprava PSC:
Resetovat všechny certifikáty (tato možnost se nezdaří, ale očekává se.)
- Spusťte Správce certifikátů:
/usr/lib/vmware-vmca/bin/certificate-manager
- Vyberte možnost 8 >: Resetovat všechny certifikáty
"Do you wish to generate all certificates using configuration file : Option[Y/N] ?"
- Zadání přihlašovacích údajů
- Zadat hodnoty
- Nechte pole IPAddress prázdné.
- Vložte název hostitele jako plně kvalifikovaný název domény řadiče PSC.
- Pole Název VMCA je název vytvářené nové kořenové certifikační autority, například VxRail CA.
- Confirm
"Continue operation : Option[Y/N] ?"
"Continue operation : Option[Y/N] ?"
- Tato operace selže s chybami:
Get site nameCompleted [Reset Machine SSL Cert...]
g3node-site
Lookup all services
Get service xxxxxx-site:xxxxxxx-d202-4d8f-9282-xxxxxx317b8f
Update service xxxxxx-site:xxxxxxxx-d202-4d8f-9282-xxxxxx317b8f; spec: /tmp/svcspec_a1hipoqq
Status : 0% Completed [Reset operation failed]
please see /var/log/vmware/vmcad/certificate-manager.log for more information.
root@xxxxc [ ~ ]#
- Oprava problému se službou STS
service-control --all --stop
- Spustit služby (to se nepodaří, ale to se očekává)
service-control --all --start
- Počkejte, až vyprší časový limit procesu, nebo jej zastavte, když se dostane do služby vmware-vmon
/usr/lib/vmware-vmca/bin/certificate-manager
- Vyberte možnost 6 >: Nahrazení uživatelských certifikátů řešení certifikáty VMCA
- Confirm
"Do you wish to generate all certificates using configuration file : Option[Y/N] ?"
- Zadání přihlašovacích údajů
- Zamítnout (zadejte "N") pro rekonfiguraci, protože všechny možnosti byly nakonfigurovány výše
"certool.cfg file exists, Do you wish to reconfigure : Option[Y/N] ?"
"You are going to regenerate Solution User Certificates using VMCA, Continue operation : Option[Y/N] ?"
- Počkejte, dokud se postup neukončí. Tento postup:
- Generuje všechny certifikáty
- Zastaví služby
- Spustí služby.
- Zkontrolujte , zda jsou spuštěny všechny služby .
service-control --all --status
- Oprava certifikátů na VCSA
Zastavte a spusťte všechny služby. To MUSÍ být provedeno PO spuštění všech služeb PSC!
service-control --all --stop
service-control --all --start
- Počkejte, až vyprší časový limit procesu, nebo jej zastavte, když se dostane do služby vmware-vmon
/usr/lib/vmware-vmca/bin/certificate-manager
- Vyberte možnost 8 >: Resetovat všechny certifikáty
- Spustit Správce certifikátů
- Confirm
"Do you wish to generate all certificates using configuration file : Option[Y/N] ?"
- Zadání přihlašovacích údajů
- Zadejte IP adresu PSC.
- Zadat hodnoty
- Nechte pole IPAddress prázdné.
- Zadejte název hostitele jako plně kvalifikovaný název domény VCSA.
- Pole Název VMCA je název vytvářené nové kořenové certifikační autority, například VxRail CA.
- Confirm
"Continue operation : Option[Y/N] ?"
"Continue operation : Option[Y/N] ?"
- Počkejte, až se vygenerují všechny certifikáty a zobrazí se zpráva o úspěšném dokončení.
"Reset status : 100% Completed [Reset completed successfully]"
- Zkontrolujte, zda jsou spuštěny všechny služby.
service-control --all --status
- Přístup k uživatelskému rozhraní vCenter
- Přístup přes DNS v prohlížeči Chrome selže kvůli HSTS. Otevřete adresu VCSA IP adresu nebo použijte jiný podporovaný prohlížeč, například FireFox.
V případě 2. scénáře, kdy platnost certifikátu vCenter vyprší za méně než 60 dní, postupujte podle níže uvedeného postupu a obnovte certifikát předem, aby nedošlo k odpojení nástroje VxRail Manager od nástroje vCenter.
- Přihlaste se k nástroji vCenter přes SSH jako uživatel root.
- Restartovat služby
"service-control --stop --all"
"service-control --start --all"
- Resetovat všechny certifikáty
"/usr/lib/vmware-vmca/bin/certificate-manager"
- Vyberte možnost 8 >: Resetovat všechny certifikáty
- Zadejte uživatelské jméno a heslo vSphere.
- Vyplňte vlastnosti certifikátu.
- Potvrďte operaci a poté se obnoví kořenový certifikát nebo certifikát počítače vCenter.
![Potvrďte obnovení certifikátů](https://supportkb.dell.com/img/ka06P000000cFkYQAU/ka06P000000cFkYQAU_cs_4.jpeg)
- Postupujte podle článku Dell VxRail: Jak ručně importovat certifikát vCenter SSL v nástroji VxRail Manager za účelem importu aktualizovaných certifikátů vCenter a certifikační autority do úložiště důvěryhodných certifikátů VxRail Manager.