Skip to main content
Sign Out

Welcome to Dell

My Account
  • Place orders quickly and easily
  • View orders and track your shipping status
  • Enjoy members-only rewards and discounts
  • Create and access a list of your products
  • Manage your Dell EMC sites, products, and product-level contacts using Company Administration.
Sign In Create an Account Dell Financial Services Premier Sign In Partner Program Sign In
Contact Us

Your Dell.com Carts

Article Number: 000082108

Dell VxRail: Det går inte att logga in på vCenter på grund av utgångna certifikat

Summary: VxRail 4.5 och 4.7: Det går inte att logga in på vCenter på grund av utgångna certifikat. Certifikat måste utfärdas på nytt. VxRail 7.0.480 eller senare: Varningscertifikatet upphör att gälla om mindre än 60 dagar, vi rekommenderar att du förnyar certifikatet i förväg. ...

This article may have been automatically translated. If you have any feedback regarding its quality, please let us know using the form at the bottom of this page.

Article Content

Symptoms

Scenario 1: vCenter-certifikatet har redan upphört att gälla. (För alla VxRail-versioner)

  • Det går inte att logga in på vCenter-gränssnittet.
  • Alla inloggningsförsök när webbgränssnittet är tillgängligt misslyckas även med korrekta autentiseringsuppgifter.
Inloggningen misslyckas när rätt autentiseringsuppgifter anges
  • Det går inte att starta om VCSA-tjänsterna.
  • Alla tjänster startas inte om när tjänsterna startas om.
Observerade fel:  
/var/log/vmware/vpxd-svcs/vpxd-svcs.log:
2020-06-03T09:31:04.523Z [pool-8-thread-1  INFO  com.vmware.identity.token.impl.X509TrustChainKeySelector  opId=905f6864-c067-4db6-828c-1d59c4b43bf8] Failed to find trusted path to signing certificate <CN=ssoserverSign>
sun.security.provider.certpath.SunCertPathBuilderException: unable to find valid certification path to requested target
        at sun.security.provider.certpath.SunCertPathBuilder.build(SunCertPathBuilder.java:141)


Scenario 2: vCenter-certifikatet upphör att gälla om mindre än 60 dagar. (För VxRail 7.0.480 och senare versioner)

  • Inloggningen till vCenter-gränssnittet har slutförts men i VxRail 7.0.480 och senare versioner visas en varning i VxRail Cluster > Configure > VxRail > Certificate >All Trust Store Certificates som anger att certifikatet upphör att gälla om mindre än 60 dagar.
Varningsmeddelande om att certifikatet upphör att gälla

Cause

vCenter-certifikat har upphört att gälla eller upphör snart att gälla.
VxRail-versioner som ursprungligen byggdes före 4.7 kan ha certifikat som utfärdas med en livslängd på två år från installationsdatumet. När den här artikeln skrivs har en VxRail-version på 4.7.410 alla certifikat med en livslängd på 10 år.

Delversionsuppgraderingar berör inte certifikaten!
För en VxRail som ursprungligen byggdes på 4.5.210 och senare versioner har certifikaten en giltighetstid på två år. Läs VMware-artikeln Kontrollera utgångsdatum för STS-certifikat på vCenter-servrar (79248) Den här hyperlänken tar dig till en webbplats utanför Dell Technologies. för att bekräfta den detaljerade beskrivningen.

Använd visningscertifikatet i webbläsaren på inloggningssidan för VCSA för att bekräfta att certifikatet har upphört att gälla eller visa certifikaten i CLI för PSC VCSA med kommandot från VMware-artikeln "Signeringscertifikatet är inte giltigt" i VCSA 6.5.x,6.7.x eller vCenter Server 7.0.x, 8.0.x. (76719) Den här hyperlänken tar dig till en webbplats utanför Dell Technologies. 
for i in $(/usr/lib/vmware-vmafd/bin/vecs-cli store list); do echo STORE $i; /usr/lib/vmware-vmafd/bin/vecs-cli entry list --store $i --text | egrep "Alias|Not After"; done

Resolution

För scenario 1, när vCenter-certifikatet redan har upphört att gälla, följer du proceduren nedan för att generera nya självsignerade certifikat på PSC och VCSA.

 
Obs! Den här proceduren är avsedd för enskilda PSC- eller VCSA-maskiner som underhålls via VxRail LCM. Öppna ett VMware-ärende för HA-, ELM- eller kunddistribuerade VC:er!
 
Obs! Ta OFFLINE-snapshots av VRM, PSC och VCSA!
 
Obs! Kontrollera om processen för att skapa ögonblicksbilder har slutförts utan fel! Fortsätt INTE utan giltiga snapshots!
 
Obs! Om problem uppstår, försök inte igen utan att återgå till snapshots!
 
  1. Åtgärda PSC:
Återställ alla certifikat (det går inte, men det förväntas.)
  • Starta certifikathanteraren:     
/usr/lib/vmware-vmca/bin/certificate-manager
  • Välj alternativ 8 >: Återställ alla certifikat
    • Bekräfta
"Do you wish to generate all certificates using configuration file : Option[Y/N] ?"
  • Ange inloggningsuppgifter
Certifikathanterare – alternativ 8
  • Ange värden
    • Lämna fältet IPAddress tomt
    • Ange värdnamn som FQDN för PSC
    • Fältet VMCA-namn är namnet på den nya rotcertifikatutfärdaren som skapas, till exempel VxRail-certifikatutfärdaren.
  • Bekräfta
"Continue operation : Option[Y/N] ?"
  • Bekräfta
"Continue operation : Option[Y/N] ?"
  • Den här åtgärden misslyckas med:
Get site nameCompleted [Reset Machine SSL Cert...]
g3node-site
Lookup all services
Get service xxxxxx-site:xxxxxxx-d202-4d8f-9282-xxxxxx317b8f
Update service xxxxxx-site:xxxxxxxx-d202-4d8f-9282-xxxxxx317b8f; spec: /tmp/svcspec_a1hipoqq

Status : 0% Completed [Reset operation failed]

please see /var/log/vmware/vmcad/certificate-manager.log for more information.
root@xxxxc [ ~ ]#
 
Skärmbild av felmeddelande
  1. Åtgärda STS-problemet
 
Artikel om att köra skript från VMware
  • Stoppa tjänster
service-control --all --stop
  • Starta tjänster (det går inte, men det förväntas)
service-control --all --start
Stopp- och starttjänster
  • Vänta tills tidsgränsen för processen överskrids eller stoppa den när den kommer till tjänsten vmware-vmon 
/usr/lib/vmware-vmca/bin/certificate-manager
  • Välj alternativ 6 >: Ersätt lösningsanvändarcertifikat med VMCA-certifikat
  • Bekräfta 
"Do you wish to generate all certificates using configuration file : Option[Y/N] ?"
  • Ange inloggningsuppgifter
  • Neka (ange "N") för omkonfigurering eftersom alla alternativ konfigurerades ovan
"certool.cfg file exists, Do you wish to reconfigure : Option[Y/N] ?"
  • Bekräfta
"You are going to regenerate Solution User Certificates using VMCA, Continue operation : Option[Y/N] ?"
  • Vänta tills proceduren avslutas. Den här proceduren:
    • Genererar alla certifikat
    • Stoppar tjänsterna
    • Startar tjänsterna
Generera certifikat
  • Bekräfta om alla tjänster körs
service-control --all --status
Bekräfta att tjänsterna körs 
  1. Åtgärda certifikat på VCSA
Stoppa och starta alla tjänster. Detta MÅSTE göras NÄR alla PSC-tjänster är igång!
  • Stopp
service-control --all --stop
  • Start
service-control --all --start
 
Stoppa och starta tjänster när PSC har körts
  • Vänta tills tidsgränsen för processen överskrids eller stoppa den när den kommer till tjänsten vmware-vmon 
/usr/lib/vmware-vmca/bin/certificate-manager
  • Välj alternativ 8 >: Återställ alla certifikat
  • Starta certifikathanteraren
  • Bekräfta
"Do you wish to generate all certificates using configuration file : Option[Y/N] ?"
  • Ange inloggningsuppgifter
Ange inloggningsuppgifterna och välj alternativ 8
  • Ange PSC IP
  • Ange värden
    • Lämna fältet IPAddress tomt
    • Ange värdnamn som FQDN för VCSA
    • Fältet VMCA-namn är namnet på den nya rotcertifikatutfärdaren som skapas, till exempel VxRail-certifikatutfärdaren.
  • Bekräfta
"Continue operation : Option[Y/N] ?"
  • Bekräfta
"Continue operation : Option[Y/N] ?"
 
Ange värden och bekräfta att du fortsätter med åtgärden
  • Vänta tills alla certifikat har genererats och ett meddelande om slutförande visas
"Reset status : 100% Completed [Reset completed successfully]"
Meddelande om att återställningen har slutförts
 
Meddelandet Återställningen har slutförts har fortsatt
  • Kontrollera att alla tjänster körs
service-control --all --status
 
Bekräfta att tjänsterna körs
  • Åtkomst till vCenter-gränssnittet
  • DNS-åtkomst misslyckas i Chrome på grund av HSTS. Öppna VCSA-IP-adressen eller använd en annan webbläsare som stöds, till exempel Firefox.
Chrome DNS-anslutning är inte privat


Chrome IP-anslutning fortsätt


I scenario 2, när vCenter-certifikatet upphör att gälla om mindre än 60 dagar, följer du proceduren nedan för att förnya certifikatet i förväg för att undvika att VxRail Manager kopplas bort från vCenter.

  1. Logga in på vCenter via SSH som rotanvändare
  2. Starta om tjänsterna
  • Kör stopp
"service-control --stop --all"
  • Kör Start
"service-control --start --all"
  1. Återställ alla certifikat
  • Kör:
"/usr/lib/vmware-vmca/bin/certificate-manager"
  • Välj alternativ 8 >: Återställ alla certifikat
Återställ alla certifikat (alternativ 8)
  • Ange användarnamn och lösenord för vSphere
Ange vSphere-användare och lösenord
  • Ange certifikategenskaperna
Ange egenskaper för certifikat
  • Bekräfta åtgärden och förnya sedan vCenter-rot- eller maskincertifikatenBekräfta att certifikat förnyas
  1. Följ artikeln Dell VxRail: Så här importerar du vCenter SSL-certifikat manuellt på VxRail Manager för att importera de uppdaterade vCenter- och CA-certifikaten till VxRail Manager-förtroendearkivet.

Additional Information

  • Ta ALLTID ögonblicksbilder av virtuella systemdatorer (PSC, VCSA och VRM) innan du följer den här artikeln.
  • Den här proceduren är avsedd för virtuella PSC VCSA-datorer som underhålls via VxRail LCM.
  • Om användaren har certifikat från sin egen infrastruktur kan de ersätta dem nu.
  • Efter korrigeringen för VxRail version 4.7.100 och senare följer du KB-artikeln Dell VxRail: Så här importerar du vCenter SSL-certifikat manuellt på VxRail Manager för att importera ett nytt rotcertifikat till VRM (insticksprogrammet fungerar inte).

Article Properties

Affected Product

VxRail Appliance Family, VxRail Appliance Series

Last Published Date

15 Mar 2024

Version

7

Article Type

Solution

Back to Top