Scenario 1: Het vCenter-certificaat is al verlopen. (Voor alle VxRail-versies)
- Kan niet aanmelden bij de vCenter-interface.
- Elke aanmeldingspoging wanneer de webinterface beschikbaar is, mislukt zelfs met de juiste referenties.
- Opnieuw opstarten van VCSA-services mislukt.
- Bij het opnieuw opstarten van services worden niet alle services weergegeven.
Waargenomen fouten:
/var/log/vmware/vpxd-svcs/vpxd-svcs.log:
2020-06-03T09:31:04.523Z [pool-8-thread-1 INFO com.vmware.identity.token.impl.X509TrustChainKeySelector opId=905f6864-c067-4db6-828c-1d59c4b43bf8] Failed to find trusted path to signing certificate <CN=ssoserverSign>
sun.security.provider.certpath.SunCertPathBuilderException: unable to find valid certification path to requested target
at sun.security.provider.certpath.SunCertPathBuilder.build(SunCertPathBuilder.java:141)
Scenario 2: Het vCenter-certificaat verloopt in minder dan 60 dagen. (Voor VxRail 7.0.480 en hogere versies)
- Het aanmelden bij de vCenter-gebruikersinterface is voltooid, maar VxRail 7.0.480 en latere versies geven een waarschuwing weer op de pagina VxRail cluster > VxRail >> Certificate >configureren Alle Trust Store Certificates pagina met de melding dat het certificaat over minder dan 60 dagen verloopt.
vCenter-certificaten zijn verlopen of verlopen binnenkort.
VxRail-versies die oorspronkelijk vóór 4.7 zijn gebouwd, kunnen certificaten hebben met een levensduur van twee jaar vanaf de installatiedatum. Op het moment van schrijven van dit artikel heeft een VxRail build op 4.7.410 alle certificaten met een levensduur van 10 jaar.
Kleine versie-upgrades komen niet aan de certificaten!
Voor een VxRail die oorspronkelijk is gebouwd op 4.5.210 en latere versies, hebben de certificaten een geldigheidsduur van twee jaar. Raadpleeg het VMware-artikel
Vervaldatum van STS-certificaat controleren op vCenter servers (79248)
om de gedetailleerde beschrijving te bevestigen.
Gebruik het certificaat weergeven in de browser van de aanmeldingspagina van de VCSA om te bevestigen dat het certificaat is verlopen of vermeld de certificaten in de CLI van de PSC VCSA met de opdracht van het VMware-artikel
"Signing certificate is not valid" fout in VCSA 6.5.x,6.7.x of vCenter Server 7.0.x, 8.0.x. (76719)
for i in $(/usr/lib/vmware-vmafd/bin/vecs-cli store list); do echo STORE $i; /usr/lib/vmware-vmafd/bin/vecs-cli entry list --store $i --text | egrep "Alias|Not After"; done
Voor scenario 1 volgt u, wanneer het vCenter-certificaat al is verlopen, de onderstaande procedure om nieuwe zelfondertekende certificaten te genereren op PSC en VCSA.
Opmerking: Deze procedure is bedoeld voor enkelvoudige PSC- of VCSA-VM's die worden onderhouden via VxRail LCM. Open een VMware-ticket voor HA, ELM of door de klant geïmplementeerde VC's!
Opmerking: Maak OFFLINE snapshots van VRM, PSC en VCSA!
Opmerking: Controleer of het proces voor het maken van snapshots foutloos is verlopen! Ga NIET verder zonder geldige snapshots!
Opmerking: Als er problemen worden aangetroffen, probeer het dan niet opnieuw zonder terug te keren naar snapshots!
- PSC repareren:
Reset alle certificaten (dit mislukt, maar dat was te verwachten.)
- Start Certificate Manager:
/usr/lib/vmware-vmca/bin/certificate-manager
- Selecteer optie 8 > Alle certificaten resetten
"Do you wish to generate all certificates using configuration file : Option[Y/N] ?"
- Waarden invoeren
- Laat het veld IPAddress leeg
- Voer de hostnaam in als FQDN van PSC
- Het veld VMCA-naam is de naam van de nieuwe basiscertificeringsinstantie die wordt gemaakt, bijvoorbeeld VxRail CA.
- Bevestigen
"Continue operation : Option[Y/N] ?"
"Continue operation : Option[Y/N] ?"
- Deze bewerking mislukt met:
Get site nameCompleted [Reset Machine SSL Cert...]
g3node-site
Lookup all services
Get service xxxxxx-site:xxxxxxx-d202-4d8f-9282-xxxxxx317b8f
Update service xxxxxx-site:xxxxxxxx-d202-4d8f-9282-xxxxxx317b8f; spec: /tmp/svcspec_a1hipoqq
Status : 0% Completed [Reset operation failed]
please see /var/log/vmware/vmcad/certificate-manager.log for more information.
root@xxxxc [ ~ ]#
- Het STS-probleem oplossen
service-control --all --stop
- Services starten (dit mislukt, maar dat is te verwachten)
service-control --all --start
- Wacht tot het proces een time-out heeft opgelopen of stop het wanneer de vmware-vmon service wordt bereikt
/usr/lib/vmware-vmca/bin/certificate-manager
- Selecteer optie 6 >: Solution-gebruikerscertificaten vervangen door VMCA-certificaten
- Bevestigen
"Do you wish to generate all certificates using configuration file : Option[Y/N] ?"
- Voer referenties in
- Weigeren (N invoeren) voor herconfiguratie omdat alle opties hierboven zijn geconfigureerd
"certool.cfg file exists, Do you wish to reconfigure : Option[Y/N] ?"
"You are going to regenerate Solution User Certificates using VMCA, Continue operation : Option[Y/N] ?"
- Wacht tot de procedure wordt afgesloten. Deze procedure:
- Genereert alle certificaten
- Stopt de services
- Start de services
- Controleer of alle services worden uitgevoerd
service-control --all --status
- Certificaten op VCSA repareren
Stop en start alle services. Dit MOET worden gedaan NADAT alle PSC-services zijn uitgevoerd!
service-control --all --stop
service-control --all --start
- Wacht tot het proces een time-out heeft opgelopen of stop het wanneer de vmware-vmon service wordt bereikt
/usr/lib/vmware-vmca/bin/certificate-manager
- Selecteer optie 8 > Alle certificaten resetten
- Certificaatbeheer starten
- Bevestigen
"Do you wish to generate all certificates using configuration file : Option[Y/N] ?"
- Voer PSC IP in
- Waarden invoeren
- Laat het veld IPAddress leeg
- Voer de hostnaam in als FQDN van VCSA
- Het veld VMCA-naam is de naam van de nieuwe basiscertificeringsinstantie die wordt gemaakt, bijvoorbeeld VxRail CA.
- Bevestigen
"Continue operation : Option[Y/N] ?"
"Continue operation : Option[Y/N] ?"
- Wacht tot alle certificaten zijn gegenereerd en een bericht over een geslaagde voltooiing wordt weergegeven
"Reset status : 100% Completed [Reset completed successfully]"
- Controleer of alle services worden uitgevoerd
service-control --all --status
- Toegang tot vCenter UI
- Toegang via DNS mislukt in Chrome vanwege HSTS. Open het VCSA IP-adres of gebruik een andere ondersteunde browser zoals FireFox.
Voor scenario 2, wanneer het vCenter-certificaat in minder dan 60 dagen verloopt, volgt u de onderstaande procedure om het certificaat vooraf te vernieuwen om te voorkomen dat VxRail Manager de verbinding met vCenter verbreekt.
- Meld u via SSH aan bij vCenter als rootgebruiker
- Services opnieuw starten
"service-control --stop --all"
"service-control --start --all"
- Alle certificaten resetten
"/usr/lib/vmware-vmca/bin/certificate-manager"
- Selecteer optie 8 > Alle certificaten resetten
- Voer de gebruikersnaam en het wachtwoord van vSphere in
- Voer de certificaateigenschappen in
- Bevestig de bewerking, waarna de vCenter-basis- of machinecertificaten worden vernieuwd
- Volg het artikel Dell VxRail: Het vCenter SSL-certificaat handmatig importeren in VxRail Manager om de bijgewerkte vCenter- en CA-certificaten te importeren in het vertrouwensarchief van VxRail Manager.