VxRail: 인증서가 만료되어 vCenter에 로그인할 수 없음

시나리오 1: vCenter 인증서가 이미 만료되었습니다. (모든 VxRail 버전)

• vCenter UI에 로그인할 수 없습니다.
• 웹 UI를 사용할 수 있을 때의 로그인 시도는 올바른 자격 증명이 있어도 실패합니다.
  
• VCSA(vCenter Server Appliance) 서비스 재시작이 실패합니다.
• 서비스를 재시작해도 모든 서비스가 표시되지는 않습니다.

/var/log/vmware/vpxd-svcs/vpxd-svcs.log:
2020-06-03T09:31:04.523Z [pool-8-thread-1  INFO  com.vmware.identity.token.impl.X509TrustChainKeySelector  opId=905f6864-c067-4db6-828c-1d59c4b43bf8] Failed to find trusted path to signing certificate <CN=ssoserverSign>
sun.security.provider.certpath.SunCertPathBuilderException: unable to find valid certification path to requested target
        at sun.security.provider.certpath.SunCertPathBuilder.build(SunCertPathBuilder.java:141)

시나리오 2: vCenter 인증서가 60일 이내에 만료됩니다. (VxRail 7.0.480 이상 버전의 경우)

• vCenter UI 로그인이 완료되었지만 VxRail 7.0.480 이상 버전은 VxRail Cluster > 의 VxRail > 인증서 > 구성 >모든 신뢰 저장소 인증서 페이지에 인증서가 60일 이내에 만료된다는 경고가 표시됩니다.
  

vCenter 인증서가 만료되었거나 곧 만료됩니다.
4.7 이전에 처음 빌드된 VxRail 버전에는 설치일로부터 2년의 기간으로 발급된 인증서가 있을 수 있습니다. 이 문서를 작성할 당시 4.7.410 기반 VxRail 빌드에는 수명이 10년인 모든 인증서가 있습니다.

부 버전 업그레이드는 인증서를 건드리지 않습니다!
4.5.210 이상 버전에서 처음 구축된 VxRail의 경우 인증서의 유효 기간은 2년입니다. 자세한 설명을 확인하려면 VMware STS(Security Token Service) Checking Expiration of STS Certificate on vCenter Servers (79248) 에 대한 VMware 문서를 참조하십시오.

VCSA 로그인 페이지의 브라우저에서 인증서 보기를 사용하여 인증서가 만료되었는지 확인합니다. 또는 VCSA(Platform Services Controller)의 CLI에서 인증서를 나열합니다. VCSA 6.5.x,6.7.x 또는 vCenter Server 7.0.x, 8.0.x에서 VMware 문서 서명 인증서가 유효하지 않음" 오류가 발생했음을 참조하십시오. (76719)

for i in $(/usr/lib/vmware-vmafd/bin/vecs-cli store list); do echo STORE $i; /usr/lib/vmware-vmafd/bin/vecs-cli entry list --store $i --text | egrep "Alias|Not After"; done

시나리오 1의 경우 vCenter 인증서가 이미 만료된 경우 아래 절차에 따라 PSC 및 VCSA에서 자체 서명된 새 인증서를 생성합니다.

1. PSC 수정:
   모든 인증서 재설정(실패하지만 예상되는 현상)

   • 인증서 관리자 시작:

     /usr/lib/vmware-vmca/bin/certificate-manager

   • 옵션 8 > Reset all Certificates를 선택합니다.
     • 확인

       "Do you wish to generate all certificates using configuration file : Option[Y/N] ?"

     • 자격 증명 입력
       
     • 값 입력
       • "IPAddress" 필드를 비워 둡니다.
       • PSC의 FQDN(Fully Qualified Domain Name)으로 호스트 이름을 입력합니다.
       • VMCA(VMware Certificate Authority) Name 필드는 생성 중인 새 루트 CA의 이름입니다. 예: VxRail CA.
     • 확인

       "Continue operation : Option[Y/N] ?"

     • 확인

       "Continue operation : Option[Y/N] ?"

       • 이 작업은 다음 오류와 함께 실패합니다.

         Get site nameCompleted [Reset Machine SSL Cert...]
         g3node-site
         Lookup all services
         Get service xxxxxx-site:xxxxxxx-d202-4d8f-9282-xxxxxx317b8f
         Update service xxxxxx-site:xxxxxxxx-d202-4d8f-9282-xxxxxx317b8f; spec: /tmp/svcspec_a1hipoqq
         
         Status : 0% Completed [Reset operation failed]
         
         please see /var/log/vmware/vmcad/certificate-manager.log for more information.
         root@xxxxc [ ~ ]#

         

     • STS 문제
       해결 VCSA 6.5.x,6.7.x 또는 vCenter Server 7.0.x, 8.0.x의 VMware 문서 "서명 인증서가 유효하지 않음" 오류에서 스크립트를 다운로드하여 실행합니다. (76719)
       

       • 서비스 중지

         service-control --all --stop

       • 서비스 시작 (실패했지만 예상된 작업임)

         service-control --all --start

         
       • 프로세스가 시간 초과될 때까지 기다리거나 "vmware-vmon" 서비스에 도달하면 중지합니다.

         /usr/lib/vmware-vmca/bin/certificate-manager

       • 옵션 6 > "솔루션 사용자 인증서를 VMCA 인증서로 교체"를 선택합니다.
       • 확인

         "Do you wish to generate all certificates using configuration file : Option[Y/N] ?"

       • 자격 증명 입력
       • 위에서 모든 옵션이 구성되었으므로 재구성을 위한 거부("N" 입력)

         "certool.cfg file exists, Do you wish to reconfigure : Option[Y/N] ?"

       • 확인

         "You are going to regenerate Solution User Certificates using VMCA, Continue operation : Option[Y/N] ?"

       • 절차가 종료될 때까지 기다리십시오. 이 절차는 다음과 같습니다.
         • 모든 인증서를 생성합니다.
         • 서비스를 중지합니다.
         • 서비스 시작
           
       • 모든 서비스가 실행 중인지 확인합니다.

         service-control --all --status

         

     • VCSA
       에서 인증서 수정 모든 서비스를 중지한 후 시작합니다. 이 작업은 모든 PSC 서비스가 실행된 후에 수행해야 합니다!

       • 중지

         service-control --all --stop

       • 시작

         service-control --all --start

         
       • 프로세스가 시간 초과될 때까지 기다리거나 vmware-vmon 서비스에 도달하면 중지합니다.

         /usr/lib/vmware-vmca/bin/certificate-manager

       • 옵션 8 > Reset all Certificates를 선택합니다.
       • 인증서 관리자 시작
       • 확인

         "Do you wish to generate all certificates using configuration file : Option[Y/N] ?"

       • 자격 증명 입력
         
       • PSC IP 입력
       • 값 입력
         • IPAddress 필드를 비워 둡니다.
         • VCSA의 FQDN으로 호스트 이름을 입력합니다.
         • VMCA Name 필드는 생성 중인 새 루트 CA의 이름입니다. 예: VxRail CA
       • 확인

         "Continue operation : Option[Y/N] ?"

       • 확인

         "Continue operation : Option[Y/N] ?"

         
       • 모든 인증서가 생성되고 완료 메시지가 나타날 때까지 기다립니다

         "Reset status : 100% Completed [Reset completed successfully]"

         
          
         
       • 모든 서비스가 실행 중인지 확인합니다.

         service-control --all --status

         
       • vCenter UI 액세스
       • HSTS(HTTP Strict Transport Security)로 인해 Chrome에서 DNS(Domain Name System) 항목별 액세스가 실패합니다. VCSA IP를 열거나 FireFox와 같은 지원되는 다른 브라우저를 사용합니다.
         
         

시나리오 2의 경우 vCenter 인증서가 60일 이내에 만료되는 경우 VxRail Manager와 vCenter의 연결이 끊어지지 않도록 아래 절차에 따라 인증서를 미리 갱신하십시오.

1. SSH를 통해 루트 사용자로 vCenter에 로그인합니다.

2. 서비스 재시작

   • 실행 중지

     "service-control --stop --all"

   • 시작 실행

     "service-control --start --all"

3. 모든 인증서 재설정

   • 다음을 실행합니다.

     "/usr/lib/vmware-vmca/bin/certificate-manager"

   • 옵션 8 > Reset all Certificates를 선택합니다.
     
   • vSphere 사용자 이름 및 암호 입력
     
   • 인증서 속성 입력
     
   • 작업을 확인한 다음 vCenter 루트 또는 머신 인증서가 갱신됩니다.
     

4. 다음 문서를 참조하십시오 . Dell VxRail: VxRail Manager에서 vCenter SSL 인증서를 수동으로 가져오는 방법업데이트된 vCenter 및 CA 인증서를 VxRail Manager 신뢰 저장소로 가져오는 방법.

• 이 문서를 따르기 전에 항상 시스템 VM(PSC, VCSA 및 VRM)의 스냅샷을 촬영하십시오.
• 이 절차는 VxRail LCM을 통해 유지 관리되는 PSC VCSA VM을 위한 것입니다.

• 사용자에게 자체 인프라의 인증서가 있는 경우 지금 교체할 수 있습니다.
• VxRail 버전 4.7.100 이상에 대한 수정 후 KB 문서 Dell VxRail: VxRail Manager에서 vCenter SSL 인증서를 수동으로 가져오는 방법 에서 새 루트 인증서를 VRM으로 가져오는 방법(플러그인이 작동하지 않음)