Scenario 1: vCenter-certifikatet har redan upphört att gälla. (För alla VxRail-versioner)
- Det går inte att logga in på vCenter-gränssnittet.
- Alla inloggningsförsök när webbgränssnittet är tillgängligt misslyckas även med korrekta autentiseringsuppgifter.
- Det går inte att starta om VCSA-tjänsterna.
- Alla tjänster startas inte om när tjänsterna startas om.
Observerade fel:
/var/log/vmware/vpxd-svcs/vpxd-svcs.log:
2020-06-03T09:31:04.523Z [pool-8-thread-1 INFO com.vmware.identity.token.impl.X509TrustChainKeySelector opId=905f6864-c067-4db6-828c-1d59c4b43bf8] Failed to find trusted path to signing certificate <CN=ssoserverSign>
sun.security.provider.certpath.SunCertPathBuilderException: unable to find valid certification path to requested target
at sun.security.provider.certpath.SunCertPathBuilder.build(SunCertPathBuilder.java:141)
Scenario 2: vCenter-certifikatet upphör att gälla om mindre än 60 dagar. (För VxRail 7.0.480 och senare versioner)
- Inloggningen till vCenter-gränssnittet har slutförts men i VxRail 7.0.480 och senare versioner visas en varning i VxRail Cluster > Configure > VxRail > Certificate >All Trust Store Certificates som anger att certifikatet upphör att gälla om mindre än 60 dagar.
vCenter-certifikat har upphört att gälla eller upphör snart att gälla.
VxRail-versioner som ursprungligen byggdes före 4.7 kan ha certifikat som utfärdas med en livslängd på två år från installationsdatumet. När den här artikeln skrivs har en VxRail-version på 4.7.410 alla certifikat med en livslängd på 10 år.
Delversionsuppgraderingar berör inte certifikaten!
För en VxRail som ursprungligen byggdes på 4.5.210 och senare versioner har certifikaten en giltighetstid på två år. Läs VMware-artikeln
Kontrollera utgångsdatum för STS-certifikat på vCenter-servrar (79248)
för att bekräfta den detaljerade beskrivningen.
Använd visningscertifikatet i webbläsaren på inloggningssidan för VCSA för att bekräfta att certifikatet har upphört att gälla eller visa certifikaten i CLI för PSC VCSA med kommandot från VMware-artikeln
"Signeringscertifikatet är inte giltigt" i VCSA 6.5.x,6.7.x eller vCenter Server 7.0.x, 8.0.x. (76719)
for i in $(/usr/lib/vmware-vmafd/bin/vecs-cli store list); do echo STORE $i; /usr/lib/vmware-vmafd/bin/vecs-cli entry list --store $i --text | egrep "Alias|Not After"; done
För scenario 1, när vCenter-certifikatet redan har upphört att gälla, följer du proceduren nedan för att generera nya självsignerade certifikat på PSC och VCSA.
Obs! Den här proceduren är avsedd för enskilda PSC- eller VCSA-maskiner som underhålls via VxRail LCM. Öppna ett VMware-ärende för HA-, ELM- eller kunddistribuerade VC:er!
Obs! Ta OFFLINE-snapshots av VRM, PSC och VCSA!
Obs! Kontrollera om processen för att skapa ögonblicksbilder har slutförts utan fel! Fortsätt INTE utan giltiga snapshots!
Obs! Om problem uppstår, försök inte igen utan att återgå till snapshots!
- Åtgärda PSC:
Återställ alla certifikat (det går inte, men det förväntas.)
- Starta certifikathanteraren:
/usr/lib/vmware-vmca/bin/certificate-manager
- Välj alternativ 8 >: Återställ alla certifikat
"Do you wish to generate all certificates using configuration file : Option[Y/N] ?"
- Ange inloggningsuppgifter
- Ange värden
- Lämna fältet IPAddress tomt
- Ange värdnamn som FQDN för PSC
- Fältet VMCA-namn är namnet på den nya rotcertifikatutfärdaren som skapas, till exempel VxRail-certifikatutfärdaren.
- Bekräfta
"Continue operation : Option[Y/N] ?"
"Continue operation : Option[Y/N] ?"
- Den här åtgärden misslyckas med:
Get site nameCompleted [Reset Machine SSL Cert...]
g3node-site
Lookup all services
Get service xxxxxx-site:xxxxxxx-d202-4d8f-9282-xxxxxx317b8f
Update service xxxxxx-site:xxxxxxxx-d202-4d8f-9282-xxxxxx317b8f; spec: /tmp/svcspec_a1hipoqq
Status : 0% Completed [Reset operation failed]
please see /var/log/vmware/vmcad/certificate-manager.log for more information.
root@xxxxc [ ~ ]#
- Åtgärda STS-problemet
service-control --all --stop
- Starta tjänster (det går inte, men det förväntas)
service-control --all --start
- Vänta tills tidsgränsen för processen överskrids eller stoppa den när den kommer till tjänsten vmware-vmon
/usr/lib/vmware-vmca/bin/certificate-manager
- Välj alternativ 6 >: Ersätt lösningsanvändarcertifikat med VMCA-certifikat
- Bekräfta
"Do you wish to generate all certificates using configuration file : Option[Y/N] ?"
- Ange inloggningsuppgifter
- Neka (ange "N") för omkonfigurering eftersom alla alternativ konfigurerades ovan
"certool.cfg file exists, Do you wish to reconfigure : Option[Y/N] ?"
"You are going to regenerate Solution User Certificates using VMCA, Continue operation : Option[Y/N] ?"
- Vänta tills proceduren avslutas. Den här proceduren:
- Genererar alla certifikat
- Stoppar tjänsterna
- Startar tjänsterna
- Bekräfta om alla tjänster körs
service-control --all --status
- Åtgärda certifikat på VCSA
Stoppa och starta alla tjänster. Detta MÅSTE göras NÄR alla PSC-tjänster är igång!
service-control --all --stop
service-control --all --start
- Vänta tills tidsgränsen för processen överskrids eller stoppa den när den kommer till tjänsten vmware-vmon
/usr/lib/vmware-vmca/bin/certificate-manager
- Välj alternativ 8 >: Återställ alla certifikat
- Starta certifikathanteraren
- Bekräfta
"Do you wish to generate all certificates using configuration file : Option[Y/N] ?"
- Ange inloggningsuppgifter
- Ange PSC IP
- Ange värden
- Lämna fältet IPAddress tomt
- Ange värdnamn som FQDN för VCSA
- Fältet VMCA-namn är namnet på den nya rotcertifikatutfärdaren som skapas, till exempel VxRail-certifikatutfärdaren.
- Bekräfta
"Continue operation : Option[Y/N] ?"
"Continue operation : Option[Y/N] ?"
- Vänta tills alla certifikat har genererats och ett meddelande om slutförande visas
"Reset status : 100% Completed [Reset completed successfully]"
- Kontrollera att alla tjänster körs
service-control --all --status
- Åtkomst till vCenter-gränssnittet
- DNS-åtkomst misslyckas i Chrome på grund av HSTS. Öppna VCSA-IP-adressen eller använd en annan webbläsare som stöds, till exempel Firefox.
I scenario 2, när vCenter-certifikatet upphör att gälla om mindre än 60 dagar, följer du proceduren nedan för att förnya certifikatet i förväg för att undvika att VxRail Manager kopplas bort från vCenter.
- Logga in på vCenter via SSH som rotanvändare
- Starta om tjänsterna
"service-control --stop --all"
"service-control --start --all"
- Återställ alla certifikat
"/usr/lib/vmware-vmca/bin/certificate-manager"
- Välj alternativ 8 >: Återställ alla certifikat
- Ange användarnamn och lösenord för vSphere
- Ange certifikategenskaperna
- Bekräfta åtgärden och förnya sedan vCenter-rot- eller maskincertifikaten
- Följ artikeln Dell VxRail: Så här importerar du vCenter SSL-certifikat manuellt på VxRail Manager för att importera de uppdaterade vCenter- och CA-certifikaten till VxRail Manager-förtroendearkivet.