Scenarie 1: vCenter-certifikatet er allerede udløbet. (For alle VxRail-versioner)
- Kunne ikke logge på vCenter UI.
- Ethvert logonforsøg, når webbrugergrænsefladen er tilgængelig, mislykkes, selv med korrekte legitimationsoplysninger.
- Genstart af VCSA-tjenester mislykkes.
- Genstart af tjenester bringer ikke alle tjenester op.
Konstaterede fejl:
/var/log/vmware/vpxd-svcs/vpxd-svcs.log:
2020-06-03T09:31:04.523Z [pool-8-thread-1 INFO com.vmware.identity.token.impl.X509TrustChainKeySelector opId=905f6864-c067-4db6-828c-1d59c4b43bf8] Failed to find trusted path to signing certificate <CN=ssoserverSign>
sun.security.provider.certpath.SunCertPathBuilderException: unable to find valid certification path to requested target
at sun.security.provider.certpath.SunCertPathBuilder.build(SunCertPathBuilder.java:141)
Scenarie 2: vCenter-certifikatet udløber om mindre end 60 dage. (For VxRail 7.0.480 og nyere versioner)
- Log på vCenter Brugergrænsefladen er fuldført, men VxRail 7.0.480 og nyere versioner viser en advarsel på siden Konfigurer VxRail-klyngekonfiguration >> af VxRail-certifikat >>Alle tillidslagercertifikater , der angiver, at certifikatet udløber om mindre end 60 dage.
vCenter-certifikater udløber eller udløber snart.
VxRail-versioner, der oprindeligt blev bygget før 4.7, kan have certifikater udstedt med en levetid på to år fra installationsdatoen. I skrivende stund har en VxRail, der bygger på 4.7.410, alle certifikater med en levetid på 10 år.
Mindre versionsopgraderinger berører ikke certifikaterne!
For en VxRail, der oprindeligt blev bygget på 4.5.210 og nyere versioner, har certifikaterne en gyldighedsperiode på to år. Se VMware-artiklen
Checking Expiration of STS Certificate on vCenter Servers (79248)
![Dette hyperlink fører dig til et websted uden for Dell Technologies. Dette hyperlink fører dig til et websted uden for Dell Technologies.](https://i.dell.com/is/image/DellContent/pop-up-arrow-corner-carbon-64px-1)
for at bekræfte den detaljerede beskrivelse.
Brug visningscertifikatet i browseren på VCSA's logonside for at bekræfte, at certifikatet er udløbet, eller angiv certifikaterne i CLI for PSC VCSA med kommandoen fra VMware-artiklen
"Signing certificate is not valid" -fejlen i VCSA 6.5.x,6.7.x eller vCenter Server 7.0.x, 8.0.x. (76719)
for i in $(/usr/lib/vmware-vmafd/bin/vecs-cli store list); do echo STORE $i; /usr/lib/vmware-vmafd/bin/vecs-cli entry list --store $i --text | egrep "Alias|Not After"; done
I scenarie 1, hvor vCenter-certifikatet allerede er udløbet, skal du følge nedenstående procedure for at generere nye selvsignerede certifikater på PSC og VCSA.
Bemærk: Denne procedure er beregnet til enkelte PSC- eller VCSA-VM'er, som vedligeholdes via VxRail LCM. For HA-, ELM- eller kundeimplementerede VC'er skal du åbne en VMware-billet!
Bemærk: Tag OFFLINE snapshots af VRM, PSC og VCSA!
Bemærk: Kontroller, om processen til oprettelse af snapshot er afsluttet uden fejl! Fortsæt IKKE uden gyldige snapshots!
Bemærk: Hvis der opstår problemer, skal du ikke prøve igen uden at vende tilbage til snapshots!
- Løs problemer med PSC:
Nulstil alle certifikater (Dette mislykkes, men det forventes.)
- Start Certificate Manager:
/usr/lib/vmware-vmca/bin/certificate-manager
- Vælg mulighed 8 >: Nulstil alle certifikater
"Do you wish to generate all certificates using configuration file : Option[Y/N] ?"
- Indtast legitimationsoplysninger
- Indtast værdier
- Lad IPAddress-feltet være tomt
- Indtast værtsnavn som FQDN for PSC
- VMCA-navn-feltet er navnet på det nye rodnøglecenter, der oprettes, f.eks. VxRail CA.
- Bekræfte
"Continue operation : Option[Y/N] ?"
"Continue operation : Option[Y/N] ?"
- Denne handling mislykkes med:
Get site nameCompleted [Reset Machine SSL Cert...]
g3node-site
Lookup all services
Get service xxxxxx-site:xxxxxxx-d202-4d8f-9282-xxxxxx317b8f
Update service xxxxxx-site:xxxxxxxx-d202-4d8f-9282-xxxxxx317b8f; spec: /tmp/svcspec_a1hipoqq
Status : 0% Completed [Reset operation failed]
please see /var/log/vmware/vmcad/certificate-manager.log for more information.
root@xxxxc [ ~ ]#
- Løs STS-problemet
service-control --all --stop
- Start tjenester (Dette mislykkes, men det forventes)
service-control --all --start
- Vent på, at der opstår timeout for processen, eller stop den, når den når til vmware-vmon-tjenesten
/usr/lib/vmware-vmca/bin/certificate-manager
- Vælg mulighed 6 >: Erstat løsningsbrugercertifikater med VMCA-certifikater
- Bekræfte
"Do you wish to generate all certificates using configuration file : Option[Y/N] ?"
- Indtast legitimationsoplysninger
- Afvis (indtast "N") for at omkonfigurere, da alle indstillinger blev konfigureret ovenfor
"certool.cfg file exists, Do you wish to reconfigure : Option[Y/N] ?"
"You are going to regenerate Solution User Certificates using VMCA, Continue operation : Option[Y/N] ?"
- Vent, indtil proceduren afsluttes. Denne procedure:
- Genererer alle certifikater
- Stopper tjenesterne
- Starter tjenesterne
- Bekræft , om alle tjenester kører
service-control --all --status
- Ret certifikater på VCSA
Stop og start alle tjenester. Dette SKAL gøres, EFTER at alle PSC-tjenester kører!
service-control --all --stop
service-control --all --start
- Vent på, at der opstår timeout for processen, eller stop den, når den når til vmware-vmon-tjenesten
/usr/lib/vmware-vmca/bin/certificate-manager
- Vælg mulighed 8 >: Nulstil alle certifikater
- Start certifikatstyring
- Bekræfte
"Do you wish to generate all certificates using configuration file : Option[Y/N] ?"
- Indtast legitimationsoplysninger
- Indtast PSC IP
- Indtast værdier
- Lad IPAddress-feltet være tomt
- Indtast værtsnavn som FQDN for VCSA
- VMCA-navn-feltet er navnet på det nye rodnøglecenter, der oprettes, f.eks. VxRail CA.
- Bekræfte
"Continue operation : Option[Y/N] ?"
"Continue operation : Option[Y/N] ?"
- Vent, indtil alle certifikater er genereret, og der vises en meddelelse om, at fuldførelsen er gennemført
"Reset status : 100% Completed [Reset completed successfully]"
- Kontroller, at alle tjenester kører
service-control --all --status
- Få adgang til vCenter-brugergrænsefladen
- Adgang fra DNS mislykkes i Chrome på grund af HSTS. Åbn VCSA IP eller brug en anden understøttet browser såsom FireFox.
For scenarie 2, hvor vCenter-certifikatet udløber om mindre end 60 dage, skal du følge nedenstående procedure for at forny certifikatet på forhånd for at undgå, at VxRail Manager afbrydes fra vCenter.
- Log på vCenter via SSH som rodbruger
- Genstart tjenester
"service-control --stop --all"
"service-control --start --all"
- Nulstil alle certifikater
"/usr/lib/vmware-vmca/bin/certificate-manager"
- Vælg mulighed 8 >: Nulstil alle certifikater
- Indtast vSphere-brugernavn og -adgangskode
- Indtast certifikategenskaberne
- Bekræft handlingen, og derefter fornyes vCenter-rod- eller maskincertifikaterne
![Bekræft, at certifikater er fornyet](https://supportkb.dell.com/img/ka06P0000008vxCQAQ/ka06P0000008vxCQAQ_da_4.jpeg)
- Følg artiklen Dell VxRail: Sådan importeres vCenter SSL-certifikat manuelt på VxRail Manager for at importere de opdaterede vCenter- og CA-certifikater til VxRail Manager-tillidslageret.