Dell VxRail:由于证书过期,无法登录 vCenter
Summary: VxRail 4.5 和 4.7:由于证书过期,无法登录 vCenter。必须重新颁发证书。 VxRail 7.0.480 或更高版本:警告证书将在 60 天内到期,建议提前续订证书。
This article applies to
This article does not apply to
Symptoms
情况 1:vCenter 证书已过期。(对于所有 VxRail 版本)
- 无法登录到 vCenter UI。
- 当 Web UI 可用时,即使凭据正确,任何登录尝试都会失败。
- 重新启动 VCSA 服务失败。
- 重新启动服务不会显示所有服务。
观察到的错误:
/var/log/vmware/vpxd-svcs/vpxd-svcs.log: 2020-06-03T09:31:04.523Z [pool-8-thread-1 INFO com.vmware.identity.token.impl.X509TrustChainKeySelector opId=905f6864-c067-4db6-828c-1d59c4b43bf8] Failed to find trusted path to signing certificate <CN=ssoserverSign> sun.security.provider.certpath.SunCertPathBuilderException: unable to find valid certification path to requested target at sun.security.provider.certpath.SunCertPathBuilder.build(SunCertPathBuilder.java:141)
情况 2:vCenter 证书将在 60 天内到期。(对于 VxRail 7.0.480 及更高版本)
- 登录 vCenter UI 已完成,但 VxRail 7.0.480 及更高版本在 VxRail 群集>配置 VxRail > 证书>“所有>信任存储证书”页面中显示警告,指出证书将在不到 60 天内到期。
Cause
vCenter 证书已过期或即将过期。
最初在 4.7 之前构建的 VxRail 版本颁发的证书自安装之日起有效期为两年。在撰写本文时,基于 4.7.410 的 VxRail 内部版本具有所有有效期为 10 年的证书。
次要版本升级不影响证书!
对于最初基于 4.5.210 及更高版本构建的 VxRail,证书的有效期为两年。请查看 VMware 文章检查 vCenter 服务器上 STS 证书的到期日期 (79248)(检查 vCenter 服务器上 STS 证书的过期日期)(79248)(英文版)
以确认详细说明。
在 VCSA 登录页面的浏览器中使用查看证书以确认证书已过期,或使用 VCSA 6.5.x、6.7.x 或 vCenter Server 7.0.x、8.0.x 中的 VMware 文章“签名证书无效”错误中的命令在 PSC VCSA 的 CLI 中列出证书。(76719)
最初在 4.7 之前构建的 VxRail 版本颁发的证书自安装之日起有效期为两年。在撰写本文时,基于 4.7.410 的 VxRail 内部版本具有所有有效期为 10 年的证书。
次要版本升级不影响证书!
对于最初基于 4.5.210 及更高版本构建的 VxRail,证书的有效期为两年。请查看 VMware 文章检查 vCenter 服务器上 STS 证书的到期日期 (79248)(检查 vCenter 服务器上 STS 证书的过期日期)(79248)(英文版)
以确认详细说明。
在 VCSA 登录页面的浏览器中使用查看证书以确认证书已过期,或使用 VCSA 6.5.x、6.7.x 或 vCenter Server 7.0.x、8.0.x 中的 VMware 文章“签名证书无效”错误中的命令在 PSC VCSA 的 CLI 中列出证书。(76719)
for i in $(/usr/lib/vmware-vmafd/bin/vecs-cli store list); do echo STORE $i; /usr/lib/vmware-vmafd/bin/vecs-cli entry list --store $i --text | egrep "Alias|Not After"; done
Resolution
对于情景 1,当 vCenter 证书已过期时,请按照以下步骤在 PSC 和 VCSA 上生成新的自签名证书。
提醒:此过程适用于通过 VxRail LCM 维护的单个 PSC 或 VCSA 虚拟机。对于 HA、ELM 或客户部署的 VC,请创建 VMware 工单!
提醒:拍摄 VRM、PSC 和 VCSA 的 离线快照!
提醒:请检查快照创建过程是否已完成且没有错误!请勿在没有有效快照的情况下继续!
提醒:如果遇到问题,请勿在不恢复到快照的情况下重试!
- 修复 PSC:
重置所有证书(失败,但这是预期行为。)
- 启动证书管理器:
/usr/lib/vmware-vmca/bin/certificate-manager
- 选择 选项 8 > 重置所有证书
- 确认
"Do you wish to generate all certificates using configuration file : Option[Y/N] ?"
- 输入凭据
- 输入值
- 将 IPAddress 字段留空
- 输入 主机名 作为 PSC 的 FQDN
- VMCA 名称字段是 要创建的新根 CA 的名称,例如 VxRail CA。
- 确认
"Continue operation : Option[Y/N] ?"
- 确认
"Continue operation : Option[Y/N] ?"
- 此操作失败,并显示:
Get site nameCompleted [Reset Machine SSL Cert...]
g3node-site
Lookup all services
Get service xxxxxx-site:xxxxxxx-d202-4d8f-9282-xxxxxx317b8f
Update service xxxxxx-site:xxxxxxxx-d202-4d8f-9282-xxxxxx317b8f; spec: /tmp/svcspec_a1hipoqq
Status : 0% Completed [Reset operation failed]
please see /var/log/vmware/vmcad/certificate-manager.log for more information.
root@xxxxc [ ~ ]#
- 修复 STS 问题
- 停止服务
service-control --all --stop
- 启动服务 (这会失败,但这是预期行为)
service-control --all --start
- 等待进程超时或在到达 vmware-vmon 服务时停止
/usr/lib/vmware-vmca/bin/certificate-manager
- 选择 选项 6 > 将解决方案用户证书替换为 VMCA 证书
- 确认
"Do you wish to generate all certificates using configuration file : Option[Y/N] ?"
- 输入凭据
- 拒绝(输入“N”)重新配置,因为上面配置了所有选项
"certool.cfg file exists, Do you wish to reconfigure : Option[Y/N] ?"
- 确认
"You are going to regenerate Solution User Certificates using VMCA, Continue operation : Option[Y/N] ?"
- 等待该过程退出。此过程:
- 生成所有证书
- 停止服务
- 启动服务
- 确认 所有 服务 是否都在运行
service-control --all --status
- 修复 VCSA 上的证书
停止并启动所有服务。必须在所有 PSC 服务都运行后执行此操作!
- 停止
service-control --all --stop
- 开始
service-control --all --start
- 等待进程超时或在到达 vmware-vmon 服务时停止
/usr/lib/vmware-vmca/bin/certificate-manager
- 选择 选项 8 > 重置所有证书
- 启动证书管理器
- 确认
"Do you wish to generate all certificates using configuration file : Option[Y/N] ?"
- 输入凭据
- 输入 PSC IP
- 输入值
- 将 IPAddress 字段留空
- 输入 主机名 作为 VCSA 的 FQDN
- VMCA 名称字段是 要创建的新根 CA 的名称,例如 VxRail CA。
- 确认
"Continue operation : Option[Y/N] ?"
- 确认
"Continue operation : Option[Y/N] ?"
- 等待所有证书生成完毕,并显示成功完成消息
"Reset status : 100% Completed [Reset completed successfully]"
- 检查所有服务是否正在运行
service-control --all --status
- 访问 vCenter UI
- 由于 HSTS,DNS 在 Chrome 中的访问失败。打开 VCSA IP 或使用其他受支持的浏览器,例如 FireFox。
对于情景 2,当 vCenter 证书在不到 60 天的时间内到期时,请按照以下步骤提前续订证书,以避免 VxRail Manager 与 vCenter 断开连接。
- 以 root 用户身份通过 SSH 登录 vCenter
- 重新启动服务
- 运行 停止
"service-control --stop --all"
- 运行 “启动”
"service-control --start --all"
- 重置所有证书
- 运行:
"/usr/lib/vmware-vmca/bin/certificate-manager"
- 选择 选项 8 > 重置所有证书
- 输入 vSphere 用户名和密码
- 输入证书属性
- 确认操作,然后续订 vCenter 根证书或计算机证书
- 请参阅文章 Dell VxRail:如何在 VxRail Manager 上手动导入 vCenter SSL 证书,以将更新的 vCenter 和 CA 证书导入 VxRail Manager 信任存储库。
Additional Information
- 按照本文操作之前,请始终拍摄系统虚拟机(PSC、VCSA 和 VRM)的快照。
- 此过程适用于通过 VxRail LCM 维护的 PSC VCSA 虚拟机。
- 如果用户拥有来自其基础架构的证书,他们现在可以替换它们。
- 修复 VxRail 版本 4.7.100 及更高版本后,请按照知识库文章 Dell VxRail:如何在 VxRail Manager 上手动导入 vCenter SSL 证书 ,以将新的根证书导入 VRM(插件不起作用)。