Skip to main content
Sign Out

Welcome to Dell

My Account
  • Place orders quickly and easily
  • View orders and track your shipping status
  • Enjoy members-only rewards and discounts
  • Create and access a list of your products
  • Manage your Dell EMC sites, products, and product-level contacts using Company Administration.
Sign In Create an Account Dell Financial Services Premier Sign In Partner Program Sign In
Contact Us

Your Dell.com Carts

Article Number: 000082108

Dell VxRail: Kan niet aanmelden bij vCenter vanwege verlopen certificaten

Summary: VxRail 4.5 en 4.7: Kan niet aanmelden bij vCenter vanwege verlopen certificaten. Certificaten moeten opnieuw worden uitgegeven. VxRail 7.0.480 of hoger: Waarschuwingscertificaat verloopt in minder dan 60 dagen. Het wordt aanbevolen het certificaat van tevoren te vernieuwen. ...

This article may have been automatically translated. If you have any feedback regarding its quality, please let us know using the form at the bottom of this page.

Article Content

Symptoms

Scenario 1: Het vCenter-certificaat is al verlopen. (Voor alle VxRail-versies)

  • Kan niet aanmelden bij de vCenter-interface.
  • Elke aanmeldingspoging wanneer de webinterface beschikbaar is, mislukt zelfs met de juiste referenties.
Het aanmelden mislukt wanneer de juiste referenties zijn ingevoerd
  • Opnieuw opstarten van VCSA-services mislukt.
  • Bij het opnieuw opstarten van services worden niet alle services weergegeven.
Waargenomen fouten:  
/var/log/vmware/vpxd-svcs/vpxd-svcs.log:
2020-06-03T09:31:04.523Z [pool-8-thread-1  INFO  com.vmware.identity.token.impl.X509TrustChainKeySelector  opId=905f6864-c067-4db6-828c-1d59c4b43bf8] Failed to find trusted path to signing certificate <CN=ssoserverSign>
sun.security.provider.certpath.SunCertPathBuilderException: unable to find valid certification path to requested target
        at sun.security.provider.certpath.SunCertPathBuilder.build(SunCertPathBuilder.java:141)


Scenario 2: Het vCenter-certificaat verloopt in minder dan 60 dagen. (Voor VxRail 7.0.480 en hogere versies)

  • Het aanmelden bij de vCenter-gebruikersinterface is voltooid, maar VxRail 7.0.480 en latere versies geven een waarschuwing weer op de pagina VxRail cluster > VxRail >> Certificate >configureren Alle Trust Store Certificates pagina met de melding dat het certificaat over minder dan 60 dagen verloopt.
Waarschuwingsbericht weergegeven dat het certificaat zal verlopen

Cause

vCenter-certificaten zijn verlopen of verlopen binnenkort.
VxRail-versies die oorspronkelijk vóór 4.7 zijn gebouwd, kunnen certificaten hebben met een levensduur van twee jaar vanaf de installatiedatum. Op het moment van schrijven van dit artikel heeft een VxRail build op 4.7.410 alle certificaten met een levensduur van 10 jaar.

Kleine versie-upgrades komen niet aan de certificaten!
Voor een VxRail die oorspronkelijk is gebouwd op 4.5.210 en latere versies, hebben de certificaten een geldigheidsduur van twee jaar. Raadpleeg het VMware-artikel Vervaldatum van STS-certificaat controleren op vCenter servers (79248) Deze hyperlink leidt u naar een website buiten Dell Technologies. om de gedetailleerde beschrijving te bevestigen.

Gebruik het certificaat weergeven in de browser van de aanmeldingspagina van de VCSA om te bevestigen dat het certificaat is verlopen of vermeld de certificaten in de CLI van de PSC VCSA met de opdracht van het VMware-artikel "Signing certificate is not valid" fout in VCSA 6.5.x,6.7.x of vCenter Server 7.0.x, 8.0.x. (76719) Deze hyperlink leidt u naar een website buiten Dell Technologies. 
for i in $(/usr/lib/vmware-vmafd/bin/vecs-cli store list); do echo STORE $i; /usr/lib/vmware-vmafd/bin/vecs-cli entry list --store $i --text | egrep "Alias|Not After"; done

Resolution

Voor scenario 1 volgt u, wanneer het vCenter-certificaat al is verlopen, de onderstaande procedure om nieuwe zelfondertekende certificaten te genereren op PSC en VCSA.

 
Opmerking: Deze procedure is bedoeld voor enkelvoudige PSC- of VCSA-VM's die worden onderhouden via VxRail LCM. Open een VMware-ticket voor HA, ELM of door de klant geïmplementeerde VC's!
 
Opmerking: Maak OFFLINE snapshots van VRM, PSC en VCSA!
 
Opmerking: Controleer of het proces voor het maken van snapshots foutloos is verlopen! Ga NIET verder zonder geldige snapshots!
 
Opmerking: Als er problemen worden aangetroffen, probeer het dan niet opnieuw zonder terug te keren naar snapshots!
 
  1. PSC repareren:
Reset alle certificaten (dit mislukt, maar dat was te verwachten.)
  • Start Certificate Manager:     
/usr/lib/vmware-vmca/bin/certificate-manager
  • Selecteer optie 8 > Alle certificaten resetten
    • Bevestigen
"Do you wish to generate all certificates using configuration file : Option[Y/N] ?"
  • Voer referenties in
Certificaatbeheer - Optie 8
  • Waarden invoeren
    • Laat het veld IPAddress leeg
    • Voer de hostnaam in als FQDN van PSC
    • Het veld VMCA-naam is de naam van de nieuwe basiscertificeringsinstantie die wordt gemaakt, bijvoorbeeld VxRail CA.
  • Bevestigen
"Continue operation : Option[Y/N] ?"
  • Bevestigen
"Continue operation : Option[Y/N] ?"
  • Deze bewerking mislukt met:
Get site nameCompleted [Reset Machine SSL Cert...]
g3node-site
Lookup all services
Get service xxxxxx-site:xxxxxxx-d202-4d8f-9282-xxxxxx317b8f
Update service xxxxxx-site:xxxxxxxx-d202-4d8f-9282-xxxxxx317b8f; spec: /tmp/svcspec_a1hipoqq

Status : 0% Completed [Reset operation failed]

please see /var/log/vmware/vmcad/certificate-manager.log for more information.
root@xxxxc [ ~ ]#
 
Schermafbeelding van foutmelding
  1. Het STS-probleem oplossen
 
Script uitvoeren vanuit het VMware-artikel
  • Stop Services
service-control --all --stop
  • Services starten (dit mislukt, maar dat is te verwachten)
service-control --all --start
Stop & start-services
  • Wacht tot het proces een time-out heeft opgelopen of stop het wanneer de vmware-vmon service wordt bereikt
/usr/lib/vmware-vmca/bin/certificate-manager
  • Selecteer optie 6 >: Solution-gebruikerscertificaten vervangen door VMCA-certificaten
  • Bevestigen 
"Do you wish to generate all certificates using configuration file : Option[Y/N] ?"
  • Voer referenties in
  • Weigeren (N invoeren) voor herconfiguratie omdat alle opties hierboven zijn geconfigureerd
"certool.cfg file exists, Do you wish to reconfigure : Option[Y/N] ?"
  • Bevestigen
"You are going to regenerate Solution User Certificates using VMCA, Continue operation : Option[Y/N] ?"
  • Wacht tot de procedure wordt afgesloten. Deze procedure:
    • Genereert alle certificaten
    • Stopt de services
    • Start de services
Certificaat genereren
  • Controleer of alle services worden uitgevoerd
service-control --all --status
Controleer of de services worden uitgevoerd 
  1. Certificaten op VCSA repareren
Stop en start alle services. Dit MOET worden gedaan NADAT alle PSC-services zijn uitgevoerd!
  • Stoppen
service-control --all --stop
  • Start
service-control --all --start
 
Services stoppen en starten nadat PSC wordt uitgevoerd
  • Wacht tot het proces een time-out heeft opgelopen of stop het wanneer de vmware-vmon service wordt bereikt
/usr/lib/vmware-vmca/bin/certificate-manager
  • Selecteer optie 8 > Alle certificaten resetten
  • Certificaatbeheer starten
  • Bevestigen
"Do you wish to generate all certificates using configuration file : Option[Y/N] ?"
  • Voer referenties in
Voer referenties in en selecteer Optie 8
  • Voer PSC IP in
  • Waarden invoeren
    • Laat het veld IPAddress leeg
    • Voer de hostnaam in als FQDN van VCSA
    • Het veld VMCA-naam is de naam van de nieuwe basiscertificeringsinstantie die wordt gemaakt, bijvoorbeeld VxRail CA.
  • Bevestigen
"Continue operation : Option[Y/N] ?"
  • Bevestigen
"Continue operation : Option[Y/N] ?"
 
Voer waarden in en bevestig dat de bewerking wordt voortgezet
  • Wacht tot alle certificaten zijn gegenereerd en een bericht over een geslaagde voltooiing wordt weergegeven
"Reset status : 100% Completed [Reset completed successfully]"
Bericht Reset voltooid
 
Reset voltooid geslaagd Bericht vervolg
  • Controleer of alle services worden uitgevoerd
service-control --all --status
 
Controleer of de services worden uitgevoerd
  • Toegang tot vCenter UI
  • Toegang via DNS mislukt in Chrome vanwege HSTS. Open het VCSA IP-adres of gebruik een andere ondersteunde browser zoals FireFox.
Chrome DNS-verbinding niet privé


Chrome IP Connection gaat verder


Voor scenario 2, wanneer het vCenter-certificaat in minder dan 60 dagen verloopt, volgt u de onderstaande procedure om het certificaat vooraf te vernieuwen om te voorkomen dat VxRail Manager de verbinding met vCenter verbreekt.

  1. Meld u via SSH aan bij vCenter als rootgebruiker
  2. Services opnieuw starten
  • Uitvoeren Stop
"service-control --stop --all"
  • Start uitvoeren
"service-control --start --all"
  1. Alle certificaten resetten
  • Voer het volgende uit:
"/usr/lib/vmware-vmca/bin/certificate-manager"
  • Selecteer optie 8 > Alle certificaten resetten
Alle certificaten opnieuw instellen (optie 8)
  • Voer de gebruikersnaam en het wachtwoord van vSphere in
Voer de vSphere gebruiker en het wachtwoord in
  • Voer de certificaateigenschappen in
Certificaateigenschappen invoeren
  • Bevestig de bewerking, waarna de vCenter-basis- of machinecertificaten worden vernieuwdBevestig dat certificaten zijn vernieuwd
  1. Volg het artikel Dell VxRail: Het vCenter SSL-certificaat handmatig importeren in VxRail Manager om de bijgewerkte vCenter- en CA-certificaten te importeren in het vertrouwensarchief van VxRail Manager.

Additional Information

  • Maak ALTIJD snapshots van systeem-VM's (PSC, VCSA en VRM) voordat u dit artikel volgt.
  • Deze procedure is bedoeld voor PSC VCSA VM's die worden onderhouden via VxRail LCM.
  • Als een gebruiker certificaten van zijn eigen infrastructuur heeft, kunnen ze deze nu vervangen.
  • Volg na de oplossing voor VxRail versie 4.7.100 en hoger het KB-artikel Dell VxRail: Een vCenter SSL-certificaat handmatig importeren in VxRail Manager om een nieuw rootcertificaat te importeren in VRM (plug-in werkt niet).

Article Properties

Affected Product

VxRail Appliance Family, VxRail Appliance Series

Last Published Date

15 Mar 2024

Version

7

Article Type

Solution

Back to Top