Article Number: 000082108
Dell VxRail: Не вдається увійти до vCenter через прострочені сертифікати
Summary: VxRail 4.5 і 4.7: Неможливо увійти до vCenter через прострочені сертифікати. Сертифікати необхідно переоформлювати. VxRail 7.0.480 або новішої версії: Термін дії попереджувального сертифіката закінчується менш ніж за 60 днів, рекомендуємо продовжити сертифікат заздалегідь. ...
Article Content
Symptoms
Сценарій 1: Термін дії сертифіката vCenter вже закінчився. (Для всіх версій VxRail)
- Неможливо увійти в інтерфейс користувача vCenter.
- Будь-яка спроба входу, коли веб-інтерфейс доступний, зазнає невдачі навіть із правильними обліковими даними.
- Не вдається перезапустити служби VCSA.
- Перезапуск служб не призводить до появи всіх служб.
Помилки, що спостерігаються:
/var/log/vmware/vpxd-svcs/vpxd-svcs.log: 2020-06-03T09:31:04.523Z [pool-8-thread-1 INFO com.vmware.identity.token.impl.X509TrustChainKeySelector opId=905f6864-c067-4db6-828c-1d59c4b43bf8] Failed to find trusted path to signing certificate <CN=ssoserverSign> sun.security.provider.certpath.SunCertPathBuilderException: unable to find valid certification path to requested target at sun.security.provider.certpath.SunCertPathBuilder.build(SunCertPathBuilder.java:141)
Сценарій 2: Термін дії сертифіката vCenter закінчується менш ніж за 60 днів. (Для VxRail 7.0.480 і новіших версій)
- Вхід до vCenter UI завершено, але VxRail 7.0.480 і пізніших версій відображається попередження на сторінці VxRail > Cluster Configure VxRail > Certificate >> All Trust Store Certificates про те, що термін дії сертифіката закінчується менш ніж через 60 днів.
Cause
Термін дії сертифікатів vCenter закінчується або скоро закінчується.
Версії VxRail, які були побудовані до версії 4.7, можуть мати сертифікати, видані з терміном дії два роки з дати встановлення. На момент написання цієї статті збірка VxRail на 4.7.410 має всі сертифікати з 10-річним терміном служби.
Незначні оновлення версій не торкаються сертифікатів!
Для VxRail, який спочатку був побудований на версії 4.5.210 і пізніших, сертифікати мають дворічний термін дії. Перегляньте статтю VMware Перевірка закінчення терміну дії сертифіката STS на серверах vCenter (79248),
щоб підтвердити детальний опис.
Скористайтеся переглядом сертифіката в браузері сторінки входу в систему VCSA, щоб підтвердити, що термін дії сертифіката закінчився, або перелічіть сертифікати в CLI PSC VCSA за допомогою команди зі статті VMware "Signing certificate is not valid" у VCSA 6.5.x,6.7.x або vCenter Server 7.0.x, 8.0.x. (76719)
Версії VxRail, які були побудовані до версії 4.7, можуть мати сертифікати, видані з терміном дії два роки з дати встановлення. На момент написання цієї статті збірка VxRail на 4.7.410 має всі сертифікати з 10-річним терміном служби.
Незначні оновлення версій не торкаються сертифікатів!
Для VxRail, який спочатку був побудований на версії 4.5.210 і пізніших, сертифікати мають дворічний термін дії. Перегляньте статтю VMware Перевірка закінчення терміну дії сертифіката STS на серверах vCenter (79248),
щоб підтвердити детальний опис.
Скористайтеся переглядом сертифіката в браузері сторінки входу в систему VCSA, щоб підтвердити, що термін дії сертифіката закінчився, або перелічіть сертифікати в CLI PSC VCSA за допомогою команди зі статті VMware "Signing certificate is not valid" у VCSA 6.5.x,6.7.x або vCenter Server 7.0.x, 8.0.x. (76719)
for i in $(/usr/lib/vmware-vmafd/bin/vecs-cli store list); do echo STORE $i; /usr/lib/vmware-vmafd/bin/vecs-cli entry list --store $i --text | egrep "Alias|Not After"; done
Resolution
У сценарії 1, коли термін дії сертифіката vCenter вже закінчився, виконайте наведену нижче процедуру, щоб створити нові самопідписані сертифікати в PSC і VCSA.
Примітка: Ця процедура призначена для окремих віртуальних машин PSC або VCSA, які підтримуються через VxRail LCM. Для венчурних капіталістів HA, ELM або розгорнутих клієнтами відкрийте квиток VMware!
Примітка: Робіть ОФЛАЙН-знімки VRM, PSC і VCSA!
Примітка: Перевірте, чи завершився процес створення знімка без помилок! НЕ продовжуйте без дійсних знімків!
Примітка: Якщо виникнуть проблеми, не повторюйте спробу, не повернувшись до знімків!
- Виправлення PSC:
Скинути всі сертифікати (це не вдається, але це очікувано.)
- Запустіть диспетчер сертифікатів:
/usr/lib/vmware-vmca/bin/certificate-manager
- Виберіть опцію 8 > Скинути всі сертифікати
- Підтвердити
"Do you wish to generate all certificates using configuration file : Option[Y/N] ?"
- Введіть облікові дані
- Введіть значення
- Залиште поле IPAddress порожнім
- Введіть назву вузла як FQDN PSC
- Поле VMCA Name – це ім'я нового кореневого ЦС, що створюється, наприклад, VxRail CA.
- Підтвердити
"Continue operation : Option[Y/N] ?"
- Підтвердити
"Continue operation : Option[Y/N] ?"
- Ця операція не вдається, якщо:
Get site nameCompleted [Reset Machine SSL Cert...]
g3node-site
Lookup all services
Get service xxxxxx-site:xxxxxxx-d202-4d8f-9282-xxxxxx317b8f
Update service xxxxxx-site:xxxxxxxx-d202-4d8f-9282-xxxxxx317b8f; spec: /tmp/svcspec_a1hipoqq
Status : 0% Completed [Reset operation failed]
please see /var/log/vmware/vmcad/certificate-manager.log for more information.
root@xxxxc [ ~ ]#
- Як вирішити проблему зі спрощеною системою оподаткування
Завантажте та запустіть скрипт зі статті VMware " Сертифікат підпису не дійсний" у VCSA 6.5.x,6.7.x або vCenter Server 7.0.x, 8.0.x. (76719)
- Зупинити сервіси
service-control --all --stop
- Запустити служби (Це не вдається, але це очікувано)
service-control --all --start
- Зачекайте, поки час очікування процесу закінчиться, або зупиніть його, коли він потрапить до служби vmware-vmon
/usr/lib/vmware-vmca/bin/certificate-manager
- Виберіть Варіант 6 > Замінити сертифікати користувачів Solution сертифікатами VMCA
- Підтвердити
"Do you wish to generate all certificates using configuration file : Option[Y/N] ?"
- Введіть облікові дані
- Заборонити (введіть "N") для переналаштування, оскільки всі параметри було налаштовано вище
"certool.cfg file exists, Do you wish to reconfigure : Option[Y/N] ?"
- Підтвердити
"You are going to regenerate Solution User Certificates using VMCA, Continue operation : Option[Y/N] ?"
- Дочекайтеся виходу з процедури. Ця процедура:
- Генерує всі сертифікати
- Зупиняє надання послуг
- Запускає послуги
- Перевірте , чи всі служби запущені
service-control --all --status
- Виправлено сертифікати у VCSA
Зупиніть і запустіть всі послуги. Це ОБОВ'ЯЗКОВО потрібно зробити ПІСЛЯ того, як всі сервіси PSC запущені!
- Зупинити
service-control --all --stop
- Почати
service-control --all --start
- Зачекайте, поки час очікування процесу закінчиться, або зупиніть його, коли він потрапить до служби vmware-vmon
/usr/lib/vmware-vmca/bin/certificate-manager
- Виберіть опцію 8 > Скинути всі сертифікати
- Запустити диспетчер сертифікатів
- Підтвердити
"Do you wish to generate all certificates using configuration file : Option[Y/N] ?"
- Введіть облікові дані
- Введіть PSC IP
- Введіть значення
- Залиште поле IPAddress порожнім
- Введіть назву вузла як FQDN VCSA
- Поле VMCA Name – це ім'я нового кореневого ЦС, що створюється, наприклад, VxRail CA.
- Підтвердити
"Continue operation : Option[Y/N] ?"
- Підтвердити
"Continue operation : Option[Y/N] ?"
- Зачекайте, доки всі сертифікати не будуть згенеровані та не з'явиться повідомлення про успішне завершення
"Reset status : 100% Completed [Reset completed successfully]"
- Перевірте, чи всі служби працюють
service-control --all --status
- Доступ до інтерфейсу vCenter UI
- У Chrome не вдається отримати доступ за допомогою DNS через HSTS. Відкрийте IP-адресу VCSA або скористайтеся іншим підтримуваним браузером, наприклад FireFox.
У сценарії 2, коли термін дії сертифіката vCenter закінчується менш ніж за 60 днів, виконайте наведену нижче процедуру, щоб поновити сертифікат заздалегідь, щоб уникнути відключення менеджера VxRail від vCenter.
- Увійдіть до vCenter через SSH як користувач root
- Перезапустіть служби
- Запустити Зупинити
"service-control --stop --all"
- Запустити Старт
"service-control --start --all"
- Скидання всіх сертифікатів
- Бігти:
"/usr/lib/vmware-vmca/bin/certificate-manager"
- Виберіть опцію 8 > Скинути всі сертифікати
- Введіть ім'я користувача та пароль vSphere
- Введіть властивості сертифіката
- Підтвердьте операцію, після чого поновлюється кореневий файл vCenter або комп'ютер Сертифікати
- Слідкуйте за статтею Dell VxRail: Як вручну імпортувати сертифікат vCenter SSL у VxRail Manager, щоб імпортувати оновлені сертифікати vCenter і CA в довірче сховище VxRail Manager.
Additional Information
- ЗАВЖДИ робіть знімки системних віртуальних машин (PSC, VCSA та VRM), перш ніж слідкувати за цією статтею.
- Ця процедура призначена для віртуальних машин PSC VCSA, які підтримуються через VxRail LCM.
- Якщо у користувача є сертифікати з власної інфраструктури, він може замінити їх зараз.
- Після виправлення для VxRail версії 4.7.100 і пізніших дотримуйтесь статті бази знань Dell VxRail: Як вручну імпортувати сертифікат vCenter SSL на VxRail Manager , щоб імпортувати новий кореневий сертифікат у VRM (плагін не працює).
Article Properties
Affected Product
VxRail Appliance Family, VxRail Appliance Series
Last Published Date
15 Mar 2024
Version
7
Article Type
Solution