VxRail：由于证书过期，无法登录 vCenter

情况 1：vCenter 证书已过期。（对于所有 VxRail 版本）

• 无法登录到 vCenter UI。
• 当 Web UI 可用时，即使凭据正确，任何登录尝试都会失败。
  
• 重新启动 vCenter Server Appliance （VCSA） 服务失败。
• 重新启动服务不会显示所有服务。

/var/log/vmware/vpxd-svcs/vpxd-svcs.log:
2020-06-03T09:31:04.523Z [pool-8-thread-1  INFO  com.vmware.identity.token.impl.X509TrustChainKeySelector  opId=905f6864-c067-4db6-828c-1d59c4b43bf8] Failed to find trusted path to signing certificate <CN=ssoserverSign>
sun.security.provider.certpath.SunCertPathBuilderException: unable to find valid certification path to requested target
        at sun.security.provider.certpath.SunCertPathBuilder.build(SunCertPathBuilder.java:141)

情况 2：vCenter 证书将在 60 天内到期。（对于 VxRail 7.0.480 及更高版本）

• 登录 vCenter UI 已完成，但 VxRail 7.0.480 及更高版本在 VxRail 群集>配置 VxRail > 证书>“所有>信任存储证书”页面中显示警告，指出证书将在不到 60 天内到期。
  

vCenter 证书已过期或即将过期。
最初在 4.7 之前构建的 VxRail 版本颁发的证书自安装之日起有效期为两年。在撰写本文时，基于 4.7.410 的 VxRail 内部版本具有所有有效期为 10 年的证书。

次要版本升级不影响证书！
对于最初基于 4.5.210 及更高版本构建的 VxRail，证书的有效期为两年。有关 VMware Security Token Service （STS） Checking Expiration of STS Certificate on vCenter Server （79248）的文章，请查看 VMware 文章以确认详细说明。

使用 VCSA 登录页面的浏览器中的 查看证书以确认证书已过期。或者列出 Platform Services Controller （PSC） （VCSA） 的 CLI 中的证书。请参阅 VCSA 6.5.x、6.7.x 或 vCenter Server 7.0.x、8.0.x 中的 VMware 文章签名证书无效“错误中的命令。(76719)

for i in $(/usr/lib/vmware-vmafd/bin/vecs-cli store list); do echo STORE $i; /usr/lib/vmware-vmafd/bin/vecs-cli entry list --store $i --text | egrep "Alias|Not After"; done

对于情景 1，当 vCenter 证书已过期时，请按照以下步骤在 PSC 和 VCSA 上生成新的自签名证书。

1. 修复 PSC：
   重置所有证书（失败，但这是预期行为。）

   • 启动证书管理器：

     /usr/lib/vmware-vmca/bin/certificate-manager

   • 选择 选项 8 > 重置所有证书
     • 确认

       "Do you wish to generate all certificates using configuration file : Option[Y/N] ?"

     • 输入凭据
       
     • 输入值
       • 将“IPAddress” 字段留空
       • 输入 主机名 作为 PSC 的完全限定域名 （FQDN）
       • VMware 证书颁发机构 （VMCA） 名称 字段是 要创建的新根 CA 的名称，例如 VxRail CA。
     • 确认

       "Continue operation : Option[Y/N] ?"

     • 确认

       "Continue operation : Option[Y/N] ?"

       • 此操作失败，并显示：

         Get site nameCompleted [Reset Machine SSL Cert...]
         g3node-site
         Lookup all services
         Get service xxxxxx-site:xxxxxxx-d202-4d8f-9282-xxxxxx317b8f
         Update service xxxxxx-site:xxxxxxxx-d202-4d8f-9282-xxxxxx317b8f; spec: /tmp/svcspec_a1hipoqq
         
         Status : 0% Completed [Reset operation failed]
         
         please see /var/log/vmware/vmcad/certificate-manager.log for more information.
         root@xxxxc [ ~ ]#

         

     • 修复 STS 问题
       从 VCSA 6.5.x、6.7.x 或 vCenter Server 7.0.x、8.0.x 中的 VMware 文章“签名证书无效”错误下载并运行脚本。(76719)
       

       • 停止服务

         service-control --all --stop

       • 启动服务 （这会失败，但这是预期行为）

         service-control --all --start

         
       • 等待进程超时或在到达“vmware-vmon” 服务时停止

         /usr/lib/vmware-vmca/bin/certificate-manager

       • 选择 选项 6 > “将解决方案用户证书替换为 VMCA 证书”
       • 确认

         "Do you wish to generate all certificates using configuration file : Option[Y/N] ?"

       • 输入凭据
       • 拒绝（输入“N”）重新配置，因为上面配置了所有选项

         "certool.cfg file exists, Do you wish to reconfigure : Option[Y/N] ?"

       • 确认

         "You are going to regenerate Solution User Certificates using VMCA, Continue operation : Option[Y/N] ?"

       • 等待该过程退出。此过程：
         • 生成所有证书
         • 停止服务
         • 启动服务
           
       • 确认 所有 服务 是否都在运行

         service-control --all --status

         

     • 修复 VCSA
       上的证书 停止并启动所有服务。必须在所有 PSC 服务都运行后执行此操作！

       • 停止

         service-control --all --stop

       • 开始

         service-control --all --start

         
       • 等待进程超时或在到达 vmware-vmon 服务时停止

         /usr/lib/vmware-vmca/bin/certificate-manager

       • 选择 选项 8 > 重置所有证书
       • 启动证书管理器
       • 确认

         "Do you wish to generate all certificates using configuration file : Option[Y/N] ?"

       • 输入凭据
         
       • 输入 PSC IP
       • 输入值
         • 将 IPAddress 字段留空
         • 输入 主机名 作为 VCSA 的 FQDN
         • VMCA 名称 字段是 要创建的新根 CA 的名称，例如 VxRail CA。
       • 确认

         "Continue operation : Option[Y/N] ?"

       • 确认

         "Continue operation : Option[Y/N] ?"

         
       • 等待所有证书生成完毕，并显示成功完成消息

         "Reset status : 100% Completed [Reset completed successfully]"

         
          
         
       • 检查所有服务是否正在运行

         service-control --all --status

         
       • 访问 vCenter UI
       • 由于 HTTP 严格传输安全性 （HSTS），Chrome 中按域名系统 （DNS） 条目进行的访问失败。打开 VCSA IP 或使用其他受支持的浏览器，例如 FireFox。
         
         

对于情景 2，当 vCenter 证书在不到 60 天的时间内到期时，请按照以下步骤提前续订证书，以避免 VxRail Manager 与 vCenter 断开连接。

1. 以 root 用户身份通过 SSH 登录 vCenter

2. 重新启动服务

   • 运行 停止

     "service-control --stop --all"

   • 运行 “启动”

     "service-control --start --all"

3. 重置所有证书

   • 运行：

     "/usr/lib/vmware-vmca/bin/certificate-manager"

   • 选择 选项 8 > 重置所有证书
     
   • 输入 vSphere 用户名和密码
     
   • 输入证书属性
     
   • 确认操作，然后续订 vCenter 根证书或计算机证书
     

4. 遵循文章 Dell VxRail：如何在 VxRail Manager 上手动导入 vCenter SSL 证书 ，以将更新的 vCenter 和 CA 证书导入 VxRail Manager 信任存储库。

• 按照本文操作之前，请始终拍摄系统虚拟机（PSC、VCSA 和 VRM）的快照。
• 此过程适用于通过 VxRail LCM 维护的 PSC VCSA 虚拟机。

• 如果用户拥有来自其自己的基础架构的证书，他们现在可以替换这些证书。
• 修复 VxRail 版本 4.7.100 及更高版本后，请按照知识库文章 Dell VxRail：如何在 VxRail Manager 上手动导入 vCenter SSL 证书 ，以将新的根证书导入 VRM（插件不起作用）。