Сценарій 1: Термін дії сертифіката vCenter вже закінчився. (Для всіх версій VxRail)
- Неможливо увійти в інтерфейс користувача vCenter.
- Будь-яка спроба входу, коли веб-інтерфейс доступний, зазнає невдачі навіть із правильними обліковими даними.
- Не вдається перезапустити служби VCSA.
- Перезапуск служб не призводить до появи всіх служб.
Помилки, що спостерігаються:
/var/log/vmware/vpxd-svcs/vpxd-svcs.log:
2020-06-03T09:31:04.523Z [pool-8-thread-1 INFO com.vmware.identity.token.impl.X509TrustChainKeySelector opId=905f6864-c067-4db6-828c-1d59c4b43bf8] Failed to find trusted path to signing certificate <CN=ssoserverSign>
sun.security.provider.certpath.SunCertPathBuilderException: unable to find valid certification path to requested target
at sun.security.provider.certpath.SunCertPathBuilder.build(SunCertPathBuilder.java:141)
Сценарій 2: Термін дії сертифіката vCenter закінчується менш ніж за 60 днів. (Для VxRail 7.0.480 і новіших версій)
- Вхід до vCenter UI завершено, але VxRail 7.0.480 і пізніших версій відображається попередження на сторінці VxRail > Cluster Configure VxRail > Certificate >> All Trust Store Certificates про те, що термін дії сертифіката закінчується менш ніж через 60 днів.
Термін дії сертифікатів vCenter закінчується або скоро закінчується.
Версії VxRail, які були побудовані до версії 4.7, можуть мати сертифікати, видані з терміном дії два роки з дати встановлення. На момент написання цієї статті збірка VxRail на 4.7.410 має всі сертифікати з 10-річним терміном служби.
Незначні оновлення версій не торкаються сертифікатів!
Для VxRail, який спочатку був побудований на версії 4.5.210 і пізніших, сертифікати мають дворічний термін дії. Перегляньте статтю VMware
Перевірка закінчення терміну дії сертифіката STS на серверах vCenter (79248),
щоб підтвердити детальний опис.
Скористайтеся переглядом сертифіката в браузері сторінки входу в систему VCSA, щоб підтвердити, що термін дії сертифіката закінчився, або перелічіть сертифікати в CLI PSC VCSA за допомогою команди зі статті VMware
"Signing certificate is not valid" у VCSA 6.5.x,6.7.x або vCenter Server 7.0.x, 8.0.x. (76719)
for i in $(/usr/lib/vmware-vmafd/bin/vecs-cli store list); do echo STORE $i; /usr/lib/vmware-vmafd/bin/vecs-cli entry list --store $i --text | egrep "Alias|Not After"; done
У сценарії 1, коли термін дії сертифіката vCenter вже закінчився, виконайте наведену нижче процедуру, щоб створити нові самопідписані сертифікати в PSC і VCSA.
Примітка: Ця процедура призначена для окремих віртуальних машин PSC або VCSA, які підтримуються через VxRail LCM. Для венчурних капіталістів HA, ELM або розгорнутих клієнтами відкрийте квиток VMware!
Примітка: Робіть ОФЛАЙН-знімки VRM, PSC і VCSA!
Примітка: Перевірте, чи завершився процес створення знімка без помилок! НЕ продовжуйте без дійсних знімків!
Примітка: Якщо виникнуть проблеми, не повторюйте спробу, не повернувшись до знімків!
- Виправлення PSC:
Скинути всі сертифікати (це не вдається, але це очікувано.)
- Запустіть диспетчер сертифікатів:
/usr/lib/vmware-vmca/bin/certificate-manager
- Виберіть опцію 8 > Скинути всі сертифікати
"Do you wish to generate all certificates using configuration file : Option[Y/N] ?"
- Введіть значення
- Залиште поле IPAddress порожнім
- Введіть назву вузла як FQDN PSC
- Поле VMCA Name – це ім'я нового кореневого ЦС, що створюється, наприклад, VxRail CA.
- Підтвердити
"Continue operation : Option[Y/N] ?"
"Continue operation : Option[Y/N] ?"
- Ця операція не вдається, якщо:
Get site nameCompleted [Reset Machine SSL Cert...]
g3node-site
Lookup all services
Get service xxxxxx-site:xxxxxxx-d202-4d8f-9282-xxxxxx317b8f
Update service xxxxxx-site:xxxxxxxx-d202-4d8f-9282-xxxxxx317b8f; spec: /tmp/svcspec_a1hipoqq
Status : 0% Completed [Reset operation failed]
please see /var/log/vmware/vmcad/certificate-manager.log for more information.
root@xxxxc [ ~ ]#
- Як вирішити проблему зі спрощеною системою оподаткування
service-control --all --stop
- Запустити служби (Це не вдається, але це очікувано)
service-control --all --start
- Зачекайте, поки час очікування процесу закінчиться, або зупиніть його, коли він потрапить до служби vmware-vmon
/usr/lib/vmware-vmca/bin/certificate-manager
- Виберіть Варіант 6 > Замінити сертифікати користувачів Solution сертифікатами VMCA
- Підтвердити
"Do you wish to generate all certificates using configuration file : Option[Y/N] ?"
- Введіть облікові дані
- Заборонити (введіть "N") для переналаштування, оскільки всі параметри було налаштовано вище
"certool.cfg file exists, Do you wish to reconfigure : Option[Y/N] ?"
"You are going to regenerate Solution User Certificates using VMCA, Continue operation : Option[Y/N] ?"
- Дочекайтеся виходу з процедури. Ця процедура:
- Генерує всі сертифікати
- Зупиняє надання послуг
- Запускає послуги
- Перевірте , чи всі служби запущені
service-control --all --status
- Виправлено сертифікати у VCSA
Зупиніть і запустіть всі послуги. Це ОБОВ'ЯЗКОВО потрібно зробити ПІСЛЯ того, як всі сервіси PSC запущені!
service-control --all --stop
service-control --all --start
- Зачекайте, поки час очікування процесу закінчиться, або зупиніть його, коли він потрапить до служби vmware-vmon
/usr/lib/vmware-vmca/bin/certificate-manager
- Виберіть опцію 8 > Скинути всі сертифікати
- Запустити диспетчер сертифікатів
- Підтвердити
"Do you wish to generate all certificates using configuration file : Option[Y/N] ?"
- Введіть PSC IP
- Введіть значення
- Залиште поле IPAddress порожнім
- Введіть назву вузла як FQDN VCSA
- Поле VMCA Name – це ім'я нового кореневого ЦС, що створюється, наприклад, VxRail CA.
- Підтвердити
"Continue operation : Option[Y/N] ?"
"Continue operation : Option[Y/N] ?"
- Зачекайте, доки всі сертифікати не будуть згенеровані та не з'явиться повідомлення про успішне завершення
"Reset status : 100% Completed [Reset completed successfully]"
- Перевірте, чи всі служби працюють
service-control --all --status
- Доступ до інтерфейсу vCenter UI
- У Chrome не вдається отримати доступ за допомогою DNS через HSTS. Відкрийте IP-адресу VCSA або скористайтеся іншим підтримуваним браузером, наприклад FireFox.
У сценарії 2, коли термін дії сертифіката vCenter закінчується менш ніж за 60 днів, виконайте наведену нижче процедуру, щоб поновити сертифікат заздалегідь, щоб уникнути відключення менеджера VxRail від vCenter.
- Увійдіть до vCenter через SSH як користувач root
- Перезапустіть служби
"service-control --stop --all"
"service-control --start --all"
- Скидання всіх сертифікатів
"/usr/lib/vmware-vmca/bin/certificate-manager"
- Виберіть опцію 8 > Скинути всі сертифікати
- Введіть ім'я користувача та пароль vSphere
- Введіть властивості сертифіката
- Підтвердьте операцію, після чого поновлюється кореневий файл vCenter або комп'ютер Сертифікати
- Слідкуйте за статтею Dell VxRail: Як вручну імпортувати сертифікат vCenter SSL у VxRail Manager, щоб імпортувати оновлені сертифікати vCenter і CA в довірче сховище VxRail Manager.