1. Senaryo: vCenter sertifikasının süresi zaten doldu. (Tüm VxRail sürümleri için)
- vCenter kullanıcı arayüzünde oturum açılamıyor.
- Web kullanıcı arayüzü kullanılabilir durumdayken yapılan herhangi bir oturum açma girişimi, doğru kimlik bilgileriyle bile başarısız olur.
- VCSA hizmetlerinin yeniden başlatılması başarısız oluyor.
- Hizmetlerin yeniden başlatılması tüm hizmetleri getirmez.
Gözlemlenen hatalar:
/var/log/vmware/vpxd-svcs/vpxd-svcs.log:
2020-06-03T09:31:04.523Z [pool-8-thread-1 INFO com.vmware.identity.token.impl.X509TrustChainKeySelector opId=905f6864-c067-4db6-828c-1d59c4b43bf8] Failed to find trusted path to signing certificate <CN=ssoserverSign>
sun.security.provider.certpath.SunCertPathBuilderException: unable to find valid certification path to requested target
at sun.security.provider.certpath.SunCertPathBuilder.build(SunCertPathBuilder.java:141)
2. Senaryo: vCenter sertifikasının süresi 60 günden kısa bir süre içinde dolar. (VxRail 7.0.480 ve üzeri sürümler için)
- vCenter kullanıcı arayüzünde oturum açma işlemi tamamlandı ancak VxRail 7.0.480 ve sonraki sürümler, VxRail Cluster > VxRail >> Certificate All >Trust Store Certificates sayfasında sertifikanın süresinin 60 günden kısa bir süre içinde dolacağını belirten bir uyarı gösteriyor.
1. Senaryoda, vCenter sertifikasının süresi dolmuşsa PSC ve VCSA'da kendinden imzalı yeni sertifikalar oluşturmak için aşağıdaki prosedürü izleyin.
Not: Bu prosedür, VxRail LCM aracılığıyla bakımı yapılan tekli PSC veya VCSA VM'ler için tasarlanmıştır. HA, ELM veya Müşteri tarafından dağıtılan VC'ler için bir VMware bileti açın!
Not: VRM, PSC ve VCSA'nın ÇEVRİMDIŞI anlık görüntülerini alın!
Not: Anlık görüntü oluşturma işleminin hatasız tamamlanıp tamamlanmadığını kontrol edin! Geçerli anlık görüntüler olmadan devam ETMEYİN!
Not: Sorunlarla karşılaşılırsa, anlık görüntülere geri dönmeden yeniden denemeyin!
- PSC'yi Düzeltin:
Tüm Sertifikaları Sıfırla (Bu işlem başarısız olur ancak bu beklenen bir işlemdir.)
- Sertifika Yöneticisini başlatın:
/usr/lib/vmware-vmca/bin/certificate-manager
- 8. Seçeneği belirleyin: Tüm sertifikaları sıfırla >
"Do you wish to generate all certificates using configuration file : Option[Y/N] ?"
- Değerleri girin
- IPAddress alanını boş bırakın
- Ana bilgisayar adını PSC'nin FQDN'si olarak girin
- VMCA Name alanı, oluşturulmakta olan yeni kök CA'nın adıdır, örneğin VxRail CA'sı.
- Confirm (Onayla)
"Continue operation : Option[Y/N] ?"
"Continue operation : Option[Y/N] ?"
- Bu işlem aşağıdakilerle başarısız olur:
Get site nameCompleted [Reset Machine SSL Cert...]
g3node-site
Lookup all services
Get service xxxxxx-site:xxxxxxx-d202-4d8f-9282-xxxxxx317b8f
Update service xxxxxx-site:xxxxxxxx-d202-4d8f-9282-xxxxxx317b8f; spec: /tmp/svcspec_a1hipoqq
Status : 0% Completed [Reset operation failed]
please see /var/log/vmware/vmcad/certificate-manager.log for more information.
root@xxxxc [ ~ ]#
- STS sorununu düzeltme
service-control --all --stop
- Hizmetleri Başlatma (Bu işlem başarısız olur ancak beklenen bir işlemdir)
service-control --all --start
- İşlemin zaman aşımına uğramasını veya vmware-vmon hizmetine geldiğinde durdurulmasını bekleyin
/usr/lib/vmware-vmca/bin/certificate-manager
- 6. Seçeneği belirleyin: Çözüm kullanıcı sertifikalarını VMCA sertifikaları ile değiştirme >
- Confirm (Onayla)
"Do you wish to generate all certificates using configuration file : Option[Y/N] ?"
- Kimlik Bilgilerini Girme
- Tüm seçenekler yukarıda yapılandırıldığından yeniden yapılandırma için reddedin ("N" girin)
"certool.cfg file exists, Do you wish to reconfigure : Option[Y/N] ?"
"You are going to regenerate Solution User Certificates using VMCA, Continue operation : Option[Y/N] ?"
- Prosedürden çıkılana kadar bekleyin. Bu prosedür:
- Tüm sertifikaları oluşturur
- Hizmetleri durdurur
- Hizmetleri başlatır
- Tüm Hizmetlerin çalışıp çalışmadığını onaylayın
service-control --all --status
- VCSA da Sertifikaları Düzeltme
Tüm hizmetleri durdurun ve başlatın. Bu, tüm PSC hizmetleri çalıştıktan SONRA yapılmalıdır!
service-control --all --stop
service-control --all --start
- İşlemin zaman aşımına uğramasını veya vmware-vmon hizmetine geldiğinde durdurulmasını bekleyin
/usr/lib/vmware-vmca/bin/certificate-manager
- 8. Seçeneği belirleyin: Tüm sertifikaları sıfırla >
- Sertifika Yöneticisini Başlat
- Confirm (Onayla)
"Do you wish to generate all certificates using configuration file : Option[Y/N] ?"
- PSC IP'sini girin
- Değerleri girin
- IPAddress alanını boş bırakın
- Ana bilgisayar adını VCSA'nın FQDN'si olarak girin
- VMCA Name alanı, oluşturulmakta olan yeni kök CA'nın adıdır, örneğin VxRail CA'sı.
- Confirm (Onayla)
"Continue operation : Option[Y/N] ?"
"Continue operation : Option[Y/N] ?"
- Tüm sertifikalar oluşturulana ve işlemin başarıyla tamamlandığını belirten bir mesaj gösterilene kadar bekleyin
"Reset status : 100% Completed [Reset completed successfully]"
- Tüm hizmetlerin çalışıp çalışmadığını kontrol edin
service-control --all --status
- vCenter kullanıcı arayüzüne erişme
- HSTS nedeniyle Chrome'da DNS ile erişim başarısız oluyor. VCSA IP'sini açın veya FireFox gibi desteklenen başka bir tarayıcı kullanın.
2. Senaryoda, vCenter sertifikasının süresi 60 günden az bir süre içinde dolduğunda VxRail yöneticisinin vCenter ile bağlantısını kesmek için aşağıdaki prosedürü izleyerek sertifikayı önceden yenileyebilirsiniz.
- Kök kullanıcı olarak SSH üzerinden vCenter'da oturum açın
- Hizmetleri Yeniden Başlatma
"service-control --stop --all"
"service-control --start --all"
- Tüm Sertifikaları Sıfırla
"/usr/lib/vmware-vmca/bin/certificate-manager"
- 8. Seçeneği belirleyin: Tüm sertifikaları sıfırla >
- vSphere kullanıcı adı ve parolasını girin
- Sertifika özelliklerini girin
- İşlemi onaylayın, ardından vCenter kök veya makine Sertifikaları yenilenir
- Şu makaleyi takip edin: Dell VxRail: Güncellenmiş vCenter ve CA sertifikalarını VxRail Manager güven deposuna aktarmak için VxRail Manager'da manuel olarak vCenter SSL sertifikasını içe aktarma.