VxRail: Impossibile accedere a vCenter a causa di certificati scaduti

Scenario 1: Il certificato vCenter è già scaduto. (per tutte le versioni di VxRail)

• Impossibile accedere all'interfaccia utente di vCenter.
• Qualsiasi tentativo di accesso quando l'interfaccia utente web è disponibile non riesce anche con le credenziali corrette.
  
• Il riavvio dei servizi vCenter Server Appliance (VCSA) non riesce.
• Il riavvio dei servizi non attiva tutti i servizi.

/var/log/vmware/vpxd-svcs/vpxd-svcs.log:
2020-06-03T09:31:04.523Z [pool-8-thread-1  INFO  com.vmware.identity.token.impl.X509TrustChainKeySelector  opId=905f6864-c067-4db6-828c-1d59c4b43bf8] Failed to find trusted path to signing certificate <CN=ssoserverSign>
sun.security.provider.certpath.SunCertPathBuilderException: unable to find valid certification path to requested target
        at sun.security.provider.certpath.SunCertPathBuilder.build(SunCertPathBuilder.java:141)

Scenario 2: Il certificato vCenter scade tra meno di 60 giorni. (per VxRail 7.0.480 e versioni successive)

• L'accesso all'interfaccia utente di vCenter è stato completato, ma VxRail 7.0.480 e versioni successive mostrano un avviso nella pagina VxRail Cluster > Configure > VxRail > Certificate >All Trust Store Certificates in cui si afferma che il certificato scade tra meno di 60 giorni.
  

I certificati vCenter sono scaduti o in scadenza a breve.
Le versioni di VxRail create inizialmente prima della versione 4.7 possono avere certificati emessi con una durata di due anni a partire dalla data di installazione. Al momento della stesura di questo articolo, una build di VxRail su 4.7.410 dispone di tutti i certificati con una durata di 10 anni.

Gli aggiornamenti delle versioni secondarie non toccano i certificati.
Per un VxRail creato inizialmente sulla versione 4.5.210 e successive, i certificati hanno un periodo di validità di due anni. Per confermare la descrizione

dettagliata, consultare l'articolo VMware VMware Security Token Service (STS) Checking Expiration of STS Certificate on vCenter Server (79248).Utilizzare la visualizzazione del certificato nel browser della pagina di accesso di VCSA per confermare che il certificato sia scaduto. In alternativa, elencare i certificati nella CLI di Platform Services Controller (PSC) (VCSA). Consultare i comandi dell'articolo VMware errore "Signing certificate is not valid" in VCSA 6.5.x,6.7.x o vCenter Server 7.0.x, 8.0.x. (76719)

for i in $(/usr/lib/vmware-vmafd/bin/vecs-cli store list); do echo STORE $i; /usr/lib/vmware-vmafd/bin/vecs-cli entry list --store $i --text | egrep "Alias|Not After"; done

Per lo scenario 1, quando il certificato vCenter è già scaduto, seguire la procedura riportata di seguito per generare nuovi certificati autofirmati su PSC e VCSA.

1. Correzione di PSC:
   Reimpostare tutti i certificati (l'operazione non riesce, ma è prevista).

   • Avviare Certificate Manager:

     /usr/lib/vmware-vmca/bin/certificate-manager

   • Selezionare l'opzione 8 > Reimposta tutti i certificati
     • Confirm

       "Do you wish to generate all certificates using configuration file : Option[Y/N] ?"

     • Inserisci credenziali
       
     • Inserisci valori
       • Lasciare vuoto il campo "IPAddress"
       • Inserire il nome host come nome di dominio completo (FQDN) di PSC
       • Il campo VMware Certificate Authority (VMCA) Name è il nome di una nuova CA root in fase di creazione, ad esempio VxRail CA.
     • Confirm

       "Continue operation : Option[Y/N] ?"

     • Confirm

       "Continue operation : Option[Y/N] ?"

       • Questa operazione ha esito negativo con:

         Get site nameCompleted [Reset Machine SSL Cert...]
         g3node-site
         Lookup all services
         Get service xxxxxx-site:xxxxxxx-d202-4d8f-9282-xxxxxx317b8f
         Update service xxxxxx-site:xxxxxxxx-d202-4d8f-9282-xxxxxx317b8f; spec: /tmp/svcspec_a1hipoqq
         
         Status : 0% Completed [Reset operation failed]
         
         please see /var/log/vmware/vmcad/certificate-manager.log for more information.
         root@xxxxc [ ~ ]#

         

     • Risolvere il problema
       della funzione STS Scaricare ed eseguire lo script dall'articolo VMware errore "Signing certificate is not valid" in VCSA 6.5.x,6.7.x o vCenter Server 7.0.x, 8.0.x. (76719)
       

       • Arrestare i servizi

         service-control --all --stop

       • Avviare i servizi (l'operazione non riesce, ma è prevista)

         service-control --all --start

         
       • Attendere il timeout del processo o arrestarlo quando arriva al servizio "vmware-vmon"

         /usr/lib/vmware-vmca/bin/certificate-manager

       • Selezionare l'opzione 6 > "Sostituire i certificati utente della soluzione con i certificati VMCA"
       • Confirm

         "Do you wish to generate all certificates using configuration file : Option[Y/N] ?"

       • Inserisci credenziali
       • Deny (immettere "N") per la riconfigurazione poiché tutte le opzioni sono state configurate in precedenza

         "certool.cfg file exists, Do you wish to reconfigure : Option[Y/N] ?"

       • Confirm

         "You are going to regenerate Solution User Certificates using VMCA, Continue operation : Option[Y/N] ?"

       • Attendere l'uscita della procedura. Questa procedura:
         • Genera tutti i certificati
         • Arresta i servizi
         • Avvia i servizi
           
       • Verifica dell'esecuzione di tutti i servizi

         service-control --all --status

         

     • Correzione dei certificati su VCSA
       Arrestare e avviare tutti i servizi. Questa operazione DEVE essere eseguita DOPO l'esecuzione di tutti i servizi PSC.

       • Arresta

         service-control --all --stop

       • Start

         service-control --all --start

         
       • Attendere il timeout del processo o arrestarlo quando arriva al servizio vmware-vmon

         /usr/lib/vmware-vmca/bin/certificate-manager

       • Selezionare l'opzione 8 > Reimposta tutti i certificati
       • Avviare Certificate Manager
       • Confirm

         "Do you wish to generate all certificates using configuration file : Option[Y/N] ?"

       • Inserisci credenziali
         
       • Inserire l'IP PSC
       • Inserisci valori
         • Lasciare vuoto il campo IPAddress
         • Inserire il nome host come FQDN di VCSA
         • Il campo VMCA Name è il nome della nuova CA root da creare, ad esempio VxRail CA.
       • Confirm

         "Continue operation : Option[Y/N] ?"

       • Confirm

         "Continue operation : Option[Y/N] ?"

         
       • Attendere la generazione di tutti i certificati e finché non viene visualizzato un messaggio di completamento

         "Reset status : 100% Completed [Reset completed successfully]"

         
          
         
       • Verificare che tutti i servizi siano in esecuzione

         service-control --all --status

         
       • Accesso all'interfaccia utente di vCenter
       • L'accesso alla voce DNS (Domain Name System) non riesce in Chrome a causa di HTTP Strict Transport Security (HSTS). Aprire l'IP VCSA o utilizzare un altro browser supportato, ad esempio FireFox.
         
         

Per lo scenario 2, quando il certificato vCenter scade tra meno di 60 giorni, seguire la procedura riportata di seguito per rinnovare il certificato in anticipo ed evitare la disconnessione di VxRail Manager da vCenter.

1. Accedere a vCenter tramite SSH come utente root

2. Riavviare i servizi

   • Arresto corsa

     "service-control --stop --all"

   • Esegui avvio

     "service-control --start --all"

3. Reimpostare tutti i certificati

   • Eseguire:

     "/usr/lib/vmware-vmca/bin/certificate-manager"

   • Selezionare l'opzione 8 > Reimposta tutti i certificati
     
   • Inserire nome utente e password vSphere
     
   • Immettere le proprietà del certificato
     
   • Confermare l'operazione e quindi rinnovare i certificati root o della macchina vCenter
     

4. Consultare l'articolo Dell VxRail: Come importare manualmente il certificato SSL vCenter su VxRail Manager per importare i certificati vCenter e CA aggiornati nell'archivio dei certificati attendibili di VxRail Manager.

• Eseguire SEMPRE snapshot delle VM di sistema (PSC, VCSA e VRM) prima di seguire questo articolo.
• Questa procedura è destinata alle VM PSC VCSA gestite tramite VxRail LCM.

• Se un utente dispone di certificati dalla propria infrastruttura, può sostituirli ora.
• Dopo la correzione per VxRail versione 4.7.100 e successive, consultare l'articolo della Knowledge Base Dell VxRail: Come importare manualmente il certificato SSL vCenter su VxRail Manager per importare un nuovo certificato root in VRM (il plug-in non funziona).