Skip to main content
Sign Out

Welcome to Dell

My Account
  • Place orders quickly and easily
  • View orders and track your shipping status
  • Enjoy members-only rewards and discounts
  • Create and access a list of your products
  • Manage your Dell EMC sites, products, and product-level contacts using Company Administration.
Sign In Create an Account Dell Financial Services Premier Sign In Partner Program Sign In
Contact Us

Your Dell.com Carts

Article Number: 000082108

Dell VxRail: Nie można zalogować się do vCenter z powodu wygaśnięcia certyfikatów

Summary: VxRail 4.5 i 4.7: Nie można zalogować się do vCenter z powodu wygaśnięcia certyfikatów. Certyfikaty muszą zostać ponownie wystawione. VxRail 7.0.480 lub nowsza: Certyfikat ostrzegawczy wygasa za mniej niż 60 dni, zalecamy wcześniejsze odnowienie certyfikatu. ...

This article may have been automatically translated. If you have any feedback regarding its quality, please let us know using the form at the bottom of this page.

Article Content

Symptoms

Scenariusz 1: Certyfikat vCenter już wygasł. (Dotyczy wszystkich wersji VxRail)

  • Nie można zalogować się do interfejsu użytkownika vCenter.
  • Każda próba zalogowania, gdy dostępny jest sieciowy interfejs użytkownika, kończy się niepowodzeniem nawet przy użyciu poprawnych poświadczeń.
Logowanie kończy się niepowodzeniem po wprowadzeniu poprawnych poświadczeń
  • Ponowne uruchomienie usług VCSA kończy się niepowodzeniem.
  • Ponowne uruchomienie usług nie powoduje wyświetlenia wszystkich usług.
Wykryte błędy:  
/var/log/vmware/vpxd-svcs/vpxd-svcs.log:
2020-06-03T09:31:04.523Z [pool-8-thread-1  INFO  com.vmware.identity.token.impl.X509TrustChainKeySelector  opId=905f6864-c067-4db6-828c-1d59c4b43bf8] Failed to find trusted path to signing certificate <CN=ssoserverSign>
sun.security.provider.certpath.SunCertPathBuilderException: unable to find valid certification path to requested target
        at sun.security.provider.certpath.SunCertPathBuilder.build(SunCertPathBuilder.java:141)


Scenariusz 2: Certyfikat vCenter wygasa po mniej niż 60 dniach. (Dla VxRail 7.0.480 i nowszych wersji)

  • Logowanie do interfejsu użytkownika vCenter zostało zakończone, ale VxRail 7.0.480 i nowsze wersje wyświetlają ostrzeżenie w klastrze VxRail Strona > konfiguracji > certyfikatu > VxRail >Wszystkie certyfikaty magazynu zaufania z informacją, że certyfikat wygasa za mniej niż 60 dni.
Wyświetlono komunikat ostrzegawczy informujący o wygaśnięciu certyfikatu

Cause

Certyfikaty vCenter wygasły lub wkrótce wygasną.
Wersje VxRail, które zostały pierwotnie zbudowane przed wersją 4.7, mogą mieć certyfikaty z okresem ważności wynoszącym dwa lata od daty instalacji. W chwili pisania tego artykułu kompilacja VxRail w wersji 4.7.410 ma wszystkie certyfikaty z 10-letnim okresem eksploatacji.

Uaktualnienia wersji pomocniczych nie mają wpływu na certyfikaty!
W przypadku rozwiązania VxRail, które początkowo było oparte na wersji 4.5.210 i nowszych, certyfikaty mają dwuletni okres ważności. Zapoznaj się z artykułem VMware Sprawdzanie wygaśnięcia certyfikatu STS na serwerach vCenter Server (79248), Kliknięcie tego hiperłącza powoduje wyświetlenie strony spoza witryny Dell Technologies. aby potwierdzić szczegółowy opis.

Użyj opcji wyświetl certyfikat w przeglądarce na stronie logowania VCSA, aby potwierdzić, że certyfikat wygasł, lub wyświetl listę certyfikatów w interfejsie wiersza poleceń PSC VCSA z błędem z artykułu VMware "Signing certificate is invalid" w VCSA 6.5.x,6.7.x lub vCenter Server 7.0.x, 8.0.x. (76719) Kliknięcie tego hiperłącza powoduje wyświetlenie strony spoza witryny Dell Technologies. 
for i in $(/usr/lib/vmware-vmafd/bin/vecs-cli store list); do echo STORE $i; /usr/lib/vmware-vmafd/bin/vecs-cli entry list --store $i --text | egrep "Alias|Not After"; done

Resolution

W przypadku scenariusza 1, gdy certyfikat vCenter już wygasł, wykonaj poniższą procedurę, aby wygenerować nowe certyfikaty z podpisem własnym na PSC i VCSA.

 
Uwaga: Ta procedura jest przeznaczona dla pojedynczych maszyn wirtualnych PSC lub VCSA, które są utrzymywane przez VxRail LCM. W przypadku HA, ELM lub VC wdrożonych przez Klienta otwórz zgłoszenie VMware!
 
Uwaga: Rób migawki VRM, PSC i VCSA w trybie OFFLINE!
 
Uwaga: Sprawdź, czy proces tworzenia migawki zakończył się bez błędów! NIE kontynuuj bez prawidłowych migawek!
 
Uwaga: Jeśli wystąpią problemy, nie należy ponawiać próby bez powrotu do migawek!
 
  1. Poprawka PSC:
Zresetuj wszystkie certyfikaty (Nie powiedzie się, ale zgodnie z oczekiwaniami).
  • Uruchom menedżera certyfikatów:     
/usr/lib/vmware-vmca/bin/certificate-manager
  • Wybierz opcję 8 > Resetuj wszystkie certyfikaty
    • Zatwierdź
"Do you wish to generate all certificates using configuration file : Option[Y/N] ?"
  • Wprowadzanie poświadczeń
Certificate Manager — opcja 8
  • Wprowadź wartości
    • Pozostaw puste pole IPAddress
    • Wprowadź nazwę hosta jako FQDN PSC
    • Pole Nazwa VMCA to nazwa nowo tworzonego głównego urzędu certyfikacji, na przykład VxRail CA.
  • Zatwierdź
"Continue operation : Option[Y/N] ?"
  • Zatwierdź
"Continue operation : Option[Y/N] ?"
  • Ta operacja kończy się niepowodzeniem z następującymi informacjami:
Get site nameCompleted [Reset Machine SSL Cert...]
g3node-site
Lookup all services
Get service xxxxxx-site:xxxxxxx-d202-4d8f-9282-xxxxxx317b8f
Update service xxxxxx-site:xxxxxxxx-d202-4d8f-9282-xxxxxx317b8f; spec: /tmp/svcspec_a1hipoqq

Status : 0% Completed [Reset operation failed]

please see /var/log/vmware/vmcad/certificate-manager.log for more information.
root@xxxxc [ ~ ]#
 
Zrzut ekranu komunikatu o niepowodzeniu
  1. Rozwiąż problem z usługą STS
 
Uruchamianie skryptu z artykułu VMware
  • Zatrzymywanie usług
service-control --all --stop
  • Uruchom usługi (niepowodzenie, ale zgodnie z oczekiwaniami)
service-control --all --start
Zatrzymywanie i uruchamianie usług
  • Poczekaj, aż upłynie limit czasu procesu, lub zatrzymaj go, gdy dotrze do usługi vmware-vmon 
/usr/lib/vmware-vmca/bin/certificate-manager
  • Wybierz opcję 6 > Zastąp certyfikaty użytkowników rozwiązania certyfikatami VMCA
  • Zatwierdź 
"Do you wish to generate all certificates using configuration file : Option[Y/N] ?"
  • Wprowadzanie poświadczeń
  • Odmów (wpisz "N") przy ponownej konfiguracji, ponieważ wszystkie opcje zostały skonfigurowane powyżej
"certool.cfg file exists, Do you wish to reconfigure : Option[Y/N] ?"
  • Zatwierdź
"You are going to regenerate Solution User Certificates using VMCA, Continue operation : Option[Y/N] ?"
  • Poczekaj na zakończenie procedury. Ta procedura:
    • Generuje wszystkie certyfikaty.
    • Zatrzymuje usługi.
    • Uruchamia usługi.
Wygeneruj certyfikat
  • Potwierdź, czy wszystkie usługi są uruchomione
service-control --all --status
Potwierdź, że usługi są uruchomione 
  1. Napraw certyfikaty na VCSA
Zatrzymaj i uruchom wszystkie usługi. Należy to zrobić PO uruchomieniu wszystkich usług PSC!
  • Zatrzymanie
service-control --all --stop
  • Start
service-control --all --start
 
Zatrzymywanie i uruchamianie usług po uruchomieniu PSC
  • Poczekaj, aż upłynie limit czasu procesu, lub zatrzymaj go, gdy dotrze do usługi vmware-vmon 
/usr/lib/vmware-vmca/bin/certificate-manager
  • Wybierz opcję 8 > Resetuj wszystkie certyfikaty
  • Uruchom menedżera certyfikatów
  • Zatwierdź
"Do you wish to generate all certificates using configuration file : Option[Y/N] ?"
  • Wprowadzanie poświadczeń
Wprowadź poświadczenia i wybierz opcję 8
  • Wprowadź adres IP PSC
  • Wprowadź wartości
    • Pozostaw puste pole IPAddress
    • Wprowadź nazwę hosta jako FQDN VCSA
    • Pole Nazwa VMCA to nazwa nowo tworzonego głównego urzędu certyfikacji, na przykład VxRail CA.
  • Zatwierdź
"Continue operation : Option[Y/N] ?"
  • Zatwierdź
"Continue operation : Option[Y/N] ?"
 
Wprowadź wartości i potwierdź kontynuację operacji
  • Poczekaj, aż wszystkie certyfikaty zostaną wygenerowane i pojawi się komunikat o pomyślnym zakończeniu
"Reset status : 100% Completed [Reset completed successfully]"
Komunikat
 
Pomyślnie zakończono resetowanie, komunikat nadal
  • Sprawdź, czy wszystkie usługi są uruchomione
service-control --all --status
 
Potwierdź, że usługi są uruchomione
  • Dostęp do interfejsu użytkownika vCenter
  • Dostęp przez DNS nie powiedzie się w Chrome z powodu HSTS. Otwórz adres IP VCSA lub użyj innej obsługiwanej przeglądarki, takiej jak FireFox.
Połączenie DNS Chrome nie jest prywatne


Kontynuacja połączenia IP Chrome


W przypadku scenariusza 2, gdy certyfikat vCenter wygasa za mniej niż 60 dni, wykonaj poniższą procedurę, aby odnowić certyfikat z wyprzedzeniem, aby uniknąć rozłączenia VxRail Manager z vCenter.

  1. Zaloguj się do vCenter przez SSH jako użytkownik główny
  2. Uruchom ponownie usługi
  • Zatrzymaj bieg
"service-control --stop --all"
  • Rozpoczęcie biegu
"service-control --start --all"
  1. Resetowanie wszystkich certyfikatów
  • Uruchom:
"/usr/lib/vmware-vmca/bin/certificate-manager"
  • Wybierz opcję 8 > Resetuj wszystkie certyfikaty
Resetowanie wszystkich certyfikatów (opcja 8)
  • Wprowadź nazwę użytkownika i hasło vSphere
Wprowadź użytkownika i hasło vSphere
  • Wprowadź właściwości certyfikatu
Wprowadź właściwości certyfikatu
  • Potwierdź operację, a następnie odnowisz certyfikaty użytkownika głównego lub komputera vCenterPotwierdź, że certyfikaty zostały odnowione
  1. Śledź artykuł Dell VxRail: Ręczne importowanie certyfikatu SSL vCenter w programie VxRail Manager w celu zaimportowania zaktualizowanych certyfikatów vCenter i CA do magazynu zaufanych certyfikatów VxRail Manager.

Additional Information

  • ZAWSZE wykonuj migawki systemowych maszyn wirtualnych (PSC, VCSA i VRM) przed wykonaniem tego artykułu.
  • Ta procedura jest przeznaczona dla maszyn wirtualnych PSC VCSA, które są utrzymywane przez VxRail LCM.
  • Jeśli użytkownik posiada certyfikaty z własnej infrastruktury, może je teraz zastąpić.
  • Po naprawie dla VxRail w wersji 4.7.100 lub nowszej postępuj zgodnie z artykułem bazy wiedzy Dell VxRail: Ręczne importowanie certyfikatu SSL vCenter w programie VxRail Manager w celu zaimportowania nowego certyfikatu głównego do VRM (wtyczka nie działa).

Article Properties

Affected Product

VxRail Appliance Family, VxRail Appliance Series

Last Published Date

15 Mar 2024

Version

7

Article Type

Solution

Back to Top