Сценарий 1. Срок действия сертификата vCenter уже истек. (Для всех версий VxRail.)
- Не удается войти в пользовательский интерфейс vCenter.
- Любая попытка входа при доступном веб-интерфейсе завершается сбоем даже при наличии правильных учетных данных.
- Не удается перезапустить службы VCSA.
- Перезапуск служб приводит не ко всем службам.
Обнаруженные ошибки:
/var/log/vmware/vpxd-svcs/vpxd-svcs.log:
2020-06-03T09:31:04.523Z [pool-8-thread-1 INFO com.vmware.identity.token.impl.X509TrustChainKeySelector opId=905f6864-c067-4db6-828c-1d59c4b43bf8] Failed to find trusted path to signing certificate <CN=ssoserverSign>
sun.security.provider.certpath.SunCertPathBuilderException: unable to find valid certification path to requested target
at sun.security.provider.certpath.SunCertPathBuilder.build(SunCertPathBuilder.java:141)
Сценарий 2. Срок действия сертификата vCenter истекает менее чем через 60 дней. (Для VxRail 7.0.480 и более поздних версий)
- Вход в пользовательский интерфейс vCenter завершен, но в VxRail 7.0.480 и более поздних версий отображается предупреждение в кластере VxRail Настройка >> сертификата > VxRail >На странице «All Trust Store Certificates» указывается, что срок действия сертификата истекает менее чем через 60 дней.
Срок действия сертификатов vCenter истек или скоро истечет.
Версии VxRail, которые изначально были созданы до 4.7, могут иметь выданные сертификаты со сроком службы два года с даты установки. На момент написания этой статьи сборка VxRail 4.7.410 имеет все сертификаты со сроком службы 10 лет.
Обновления дополнительной версии не затрагивают сертификаты!
Для системы VxRail, которая изначально была создана на базе 4.5.210 и более поздних версий, срок действия сертификатов составляет два года. Для подтверждения подробного описания см. статью VMware
Проверка истечения срока действия сертификата STS на серверах vCenter (79248).
Используйте функцию просмотра сертификата в браузере на странице входа в систему VCSA для подтверждения истечения срока действия сертификата или перечислите сертификаты в интерфейсе командной строки PSC VCSA с ошибкой из статьи VMware
«Сертификат подписи недействителен» в VCSA 6.5.x,6.7.x или vCenter Server 7.0.x, 8.0.x. (76719)
for i in $(/usr/lib/vmware-vmafd/bin/vecs-cli store list); do echo STORE $i; /usr/lib/vmware-vmafd/bin/vecs-cli entry list --store $i --text | egrep "Alias|Not After"; done
В сценарии 1, когда срок действия сертификата vCenter уже истек, выполните следующую процедуру для создания новых самозаверяющих сертификатов в PSC и VCSA.
Примечание.: Эта процедура предназначена для одних виртуальных машин PSC или VCSA, которые обслуживаются с помощью VxRail LCM. Для HA, ELM или VC, развернутых заказчиком, откройте заявку VMware!
Примечание.: Делайте АВТОНОМНЫЕ снимки VRM, PSC и VCSA!
Примечание.: Убедитесь, что процесс создания снимка завершился без ошибок! НЕ продолжайте без действительных моментальных снимков!
Примечание.: Если возникли проблемы, не повторяйте попытку, не вернувшись к моментальным снимкам!
- Исправление PSC.
Сбросить все сертификаты (Это приведет к сбою, но это ожидаемо).
- Запуск диспетчера сертификатов.
/usr/lib/vmware-vmca/bin/certificate-manager
- Выберите вариант 8 > Сбросить все сертификаты
"Do you wish to generate all certificates using configuration file : Option[Y/N] ?"
- Ввести значения
- Оставьте поле IPAddress пустым
- Введите имя хоста в виде полного доменного имени PSC
- Поле Имя VMCA — это имя нового создаваемого корневого центра сертификации, например источник сертификатов VxRail.
- Confirm
"Continue operation : Option[Y/N] ?"
"Continue operation : Option[Y/N] ?"
- Эта операция завершается ошибкой:
Get site nameCompleted [Reset Machine SSL Cert...]
g3node-site
Lookup all services
Get service xxxxxx-site:xxxxxxx-d202-4d8f-9282-xxxxxx317b8f
Update service xxxxxx-site:xxxxxxxx-d202-4d8f-9282-xxxxxx317b8f; spec: /tmp/svcspec_a1hipoqq
Status : 0% Completed [Reset operation failed]
please see /var/log/vmware/vmcad/certificate-manager.log for more information.
root@xxxxc [ ~ ]#
- Исправление проблемы STS
service-control --all --stop
- Запустите службы (Это не удается, но это ожидаемо)
service-control --all --start
- Дождитесь истечения времени ожидания процесса или остановите его, когда он попадет в службу vmware-vmon
/usr/lib/vmware-vmca/bin/certificate-manager
- Выберите вариант 6>. Заменить сертификаты пользователя решения сертификатами VMCA
- Confirm
"Do you wish to generate all certificates using configuration file : Option[Y/N] ?"
- Ввод учетных данных
- Отклонить (введите «N») для перенастройки, так как все параметры были настроены выше
"certool.cfg file exists, Do you wish to reconfigure : Option[Y/N] ?"
"You are going to regenerate Solution User Certificates using VMCA, Continue operation : Option[Y/N] ?"
- Дождитесь завершения процедуры. Следующая процедура:
- Создает все сертификаты
- Останавливает работу служб
- Запускает службы
- Убедитесь , что все службы запущены
service-control --all --status
- Исправление сертификатов в VCSA
Остановите и запустите все службы. Это НЕОБХОДИМО сделать ПОСЛЕ запуска всех служб PSC!
service-control --all --stop
service-control --all --start
- Дождитесь истечения времени ожидания процесса или остановите его, когда он попадет в службу vmware-vmon
/usr/lib/vmware-vmca/bin/certificate-manager
- Выберите вариант 8 > Сбросить все сертификаты
- Запуск диспетчера сертификатов
- Confirm
"Do you wish to generate all certificates using configuration file : Option[Y/N] ?"
- Введите IP-адрес PSC
- Ввести значения
- Оставьте поле IPAddress пустым
- Введите имя хоста в качестве полного доменного имени VCSA
- Поле Имя VMCA — это имя нового создаваемого корневого центра сертификации, например источник сертификатов VxRail.
- Confirm
"Continue operation : Option[Y/N] ?"
"Continue operation : Option[Y/N] ?"
- Подождите, пока не будут созданы все сертификаты и не появится сообщение об успешном завершении
"Reset status : 100% Completed [Reset completed successfully]"
- Убедитесь, что все службы запущены
service-control --all --status
- Доступ к пользовательскому интерфейсу vCenter
- Сбой доступа по DNS в Chrome из-за HSTS. Откройте IP-адрес VCSA или используйте другой поддерживаемый браузер, например FireFox.
Для сценария 2, когда срок действия сертификата vCenter истекает менее чем через 60 дней, выполните приведенную ниже процедуру, чтобы продлить сертификат заранее, чтобы избежать отключения VxRail Manager от vCenter.
- Войдите в vCenter по протоколу SSH в качестве пользователя root
- Перезапуск служб
"service-control --stop --all"
"service-control --start --all"
- Сбросить все сертификаты
"/usr/lib/vmware-vmca/bin/certificate-manager"
- Выберите вариант 8 > Сбросить все сертификаты
- Введите имя пользователя и пароль vSphere
- Введите свойства сертификата
- Подтвердите операцию, после чего корневые сертификаты vCenter или сертификаты компьютера будут обновлены
- Подпишитесь на статью Dell VxRail. Импорт SSL-сертификата vCenter в VxRail Manager вручную для импорта обновленных сертификатов vCenter и CA в хранилище доверия VxRail Manager.