情况 1:vCenter 证书已过期。(对于所有 VxRail 版本)
- 无法登录到 vCenter UI。
- 当 Web UI 可用时,即使凭据正确,任何登录尝试都会失败。
- 重新启动 VCSA 服务失败。
- 重新启动服务不会显示所有服务。
观察到的错误:
/var/log/vmware/vpxd-svcs/vpxd-svcs.log:
2020-06-03T09:31:04.523Z [pool-8-thread-1 INFO com.vmware.identity.token.impl.X509TrustChainKeySelector opId=905f6864-c067-4db6-828c-1d59c4b43bf8] Failed to find trusted path to signing certificate <CN=ssoserverSign>
sun.security.provider.certpath.SunCertPathBuilderException: unable to find valid certification path to requested target
at sun.security.provider.certpath.SunCertPathBuilder.build(SunCertPathBuilder.java:141)
情况 2:vCenter 证书将在 60 天内到期。(对于 VxRail 7.0.480 及更高版本)
- 登录 vCenter UI 已完成,但 VxRail 7.0.480 及更高版本在 VxRail 群集>配置 VxRail > 证书>“所有>信任存储证书”页面中显示警告,指出证书将在不到 60 天内到期。
对于情景 1,当 vCenter 证书已过期时,请按照以下步骤在 PSC 和 VCSA 上生成新的自签名证书。
提醒:此过程适用于通过 VxRail LCM 维护的单个 PSC 或 VCSA 虚拟机。对于 HA、ELM 或客户部署的 VC,请创建 VMware 工单!
提醒:拍摄 VRM、PSC 和 VCSA 的 离线快照!
提醒:请检查快照创建过程是否已完成且没有错误!请勿在没有有效快照的情况下继续!
提醒:如果遇到问题,请勿在不恢复到快照的情况下重试!
- 修复 PSC:
重置所有证书(失败,但这是预期行为。)
/usr/lib/vmware-vmca/bin/certificate-manager
"Do you wish to generate all certificates using configuration file : Option[Y/N] ?"
- 输入值
- 将 IPAddress 字段留空
- 输入 主机名 作为 PSC 的 FQDN
- VMCA 名称字段是 要创建的新根 CA 的名称,例如 VxRail CA。
- 确认
"Continue operation : Option[Y/N] ?"
"Continue operation : Option[Y/N] ?"
Get site nameCompleted [Reset Machine SSL Cert...]
g3node-site
Lookup all services
Get service xxxxxx-site:xxxxxxx-d202-4d8f-9282-xxxxxx317b8f
Update service xxxxxx-site:xxxxxxxx-d202-4d8f-9282-xxxxxx317b8f; spec: /tmp/svcspec_a1hipoqq
Status : 0% Completed [Reset operation failed]
please see /var/log/vmware/vmcad/certificate-manager.log for more information.
root@xxxxc [ ~ ]#
- 修复 STS 问题
service-control --all --stop
service-control --all --start
- 等待进程超时或在到达 vmware-vmon 服务时停止
/usr/lib/vmware-vmca/bin/certificate-manager
- 选择 选项 6 > 将解决方案用户证书替换为 VMCA 证书
- 确认
"Do you wish to generate all certificates using configuration file : Option[Y/N] ?"
- 输入凭据
- 拒绝(输入“N”)重新配置,因为上面配置了所有选项
"certool.cfg file exists, Do you wish to reconfigure : Option[Y/N] ?"
"You are going to regenerate Solution User Certificates using VMCA, Continue operation : Option[Y/N] ?"
service-control --all --status
- 修复 VCSA 上的证书
停止并启动所有服务。必须在所有 PSC 服务都运行后执行此操作!
service-control --all --stop
service-control --all --start
- 等待进程超时或在到达 vmware-vmon 服务时停止
/usr/lib/vmware-vmca/bin/certificate-manager
- 选择 选项 8 > 重置所有证书
- 启动证书管理器
- 确认
"Do you wish to generate all certificates using configuration file : Option[Y/N] ?"
- 输入 PSC IP
- 输入值
- 将 IPAddress 字段留空
- 输入 主机名 作为 VCSA 的 FQDN
- VMCA 名称字段是 要创建的新根 CA 的名称,例如 VxRail CA。
- 确认
"Continue operation : Option[Y/N] ?"
"Continue operation : Option[Y/N] ?"
"Reset status : 100% Completed [Reset completed successfully]"
service-control --all --status
- 访问 vCenter UI
- 由于 HSTS,DNS 在 Chrome 中的访问失败。打开 VCSA IP 或使用其他受支持的浏览器,例如 FireFox。
对于情景 2,当 vCenter 证书在不到 60 天的时间内到期时,请按照以下步骤提前续订证书,以避免 VxRail Manager 与 vCenter 断开连接。
- 以 root 用户身份通过 SSH 登录 vCenter
- 重新启动服务
"service-control --stop --all"
"service-control --start --all"
- 重置所有证书
"/usr/lib/vmware-vmca/bin/certificate-manager"
- 确认操作,然后续订 vCenter 根证书或计算机证书
- 请参阅文章 Dell VxRail:如何在 VxRail Manager 上手动导入 vCenter SSL 证书,以将更新的 vCenter 和 CA 证书导入 VxRail Manager 信任存储库。