VxRail : Impossible de se connecter à vCenter en raison de certificats expirés

Scénario 1 : Le certificat vCenter a déjà expiré. (Pour toutes les versions de VxRail)

• Impossible de se connecter à l’interface utilisateur vCenter.
• Toute tentative de connexion lorsque l’interface utilisateur Web est disponible échoue, même avec des informations d’identification correctes.
  
• Le redémarrage des services vCenter Server Appliance (VCSA) échoue.
• Le redémarrage des services n’entraîne pas l’activation de tous les services.

/var/log/vmware/vpxd-svcs/vpxd-svcs.log:
2020-06-03T09:31:04.523Z [pool-8-thread-1  INFO  com.vmware.identity.token.impl.X509TrustChainKeySelector  opId=905f6864-c067-4db6-828c-1d59c4b43bf8] Failed to find trusted path to signing certificate <CN=ssoserverSign>
sun.security.provider.certpath.SunCertPathBuilderException: unable to find valid certification path to requested target
        at sun.security.provider.certpath.SunCertPathBuilder.build(SunCertPathBuilder.java:141)

Scénario 2 : Le certificat vCenter expire dans moins de 60 jours. (Pour VxRail 7.0.480 et versions supérieures)

• La connexion à l’interface utilisateur de vCenter est terminée, mais VxRail 7.0.480 et les versions supérieures affichent un avertissement dans VxRail Cluster > Configurer > le certificat VxRail > La > page Tous les certificats du magasin de confiance indique que le certificat expire dans moins de 60 jours.
  

Les certificats vCenter ont expiré ou expirent bientôt.
Les versions VxRail initialement construites avant la version 4.7 peuvent avoir des certificats délivrés avec une durée de vie de deux ans à compter de la date d’installation. Au moment de la rédaction de cet article, un VxRail construit sur la version 4.7.410 dispose de tous les certificats avec une durée de vie de 10 ans.

Les mises à niveau de version mineures ne touchent pas les certificats.
Pour un VxRail initialement construit sur 4.5.210 et versions ultérieures, les certificats ont une période de validité de deux ans. Consultez l’article VMware VMware Security Token Service (STS) Vérification de l’expiration du certificat STS sur les serveurs vCenter Server (79248) pour confirmer la description détaillée.

Utilisez l’affichage du certificat dans le navigateur de la page de connexion de l’appliance VCSA pour confirmer que le certificat a expiré. Ou répertoriez les certificats dans la CLI du contrôleur PSC (Platform Services Controller) (VCSA). Reportez-vous aux commandes de l’article VMware « Signature du certificat non valide » dans VCSA 6.5.x, 6.7.x ou vCenter Server 7.0.x, 8.0.x. (76719)

for i in $(/usr/lib/vmware-vmafd/bin/vecs-cli store list); do echo STORE $i; /usr/lib/vmware-vmafd/bin/vecs-cli entry list --store $i --text | egrep "Alias|Not After"; done

Pour le scénario 1, lorsque le certificat vCenter a déjà expiré, suivez la procédure ci-dessous pour générer de nouveaux certificats auto-signés sur PSC et VCSA.

1. Corrigez le PSC :
   Réinitialiser tous les certificats (Cette opération échoue, mais c’est normal.)

   • Démarrez le gestionnaire de certificats :

     /usr/lib/vmware-vmca/bin/certificate-manager

   • Sélectionnez l’option 8 > Réinitialiser tous les certificats
     • Confirmer

       "Do you wish to generate all certificates using configuration file : Option[Y/N] ?"

     • Saisie des informations d’identification
       
     • Saisir des valeurs
       • Laissez le champ « IPAddress » vide
       • Saisissez le nom d’hôte comme nom de domaine complet (FQDN) du PSC
       • Le champ Nom de VMware Certificate Authority (VMCA) est le nom d’une nouvelle autorité de certification racine en cours de création, par exemple, autorité de certification VxRail.
     • Confirmer

       "Continue operation : Option[Y/N] ?"

     • Confirmer

       "Continue operation : Option[Y/N] ?"

       • Cette opération échoue avec :

         Get site nameCompleted [Reset Machine SSL Cert...]
         g3node-site
         Lookup all services
         Get service xxxxxx-site:xxxxxxx-d202-4d8f-9282-xxxxxx317b8f
         Update service xxxxxx-site:xxxxxxxx-d202-4d8f-9282-xxxxxx317b8f; spec: /tmp/svcspec_a1hipoqq
         
         Status : 0% Completed [Reset operation failed]
         
         please see /var/log/vmware/vmcad/certificate-manager.log for more information.
         root@xxxxc [ ~ ]#

         

     • Corriger le problème
       STS Téléchargez et exécutez le script à partir de l’erreur « La signature du certificat n’est pas valide » dans l’article VMware « La signature du certificat n’est pas valide » dans VCSA 6.5.x,6.7.x ou vCenter Server 7.0.x, 8.0.x. (76719)
       

       • Arrêter les services

         service-control --all --stop

       • Démarrer les services (cela échoue, mais c’est normal)

         service-control --all --start

         
       • Attendez que le processus expire ou arrêtez-le lorsqu’il arrive au service « vmware-vmon »

         /usr/lib/vmware-vmca/bin/certificate-manager

       • Sélectionnez l’option 6 > « Remplacer les certificats utilisateur de la solution par des certificats VMCA »
       • Confirmer

         "Do you wish to generate all certificates using configuration file : Option[Y/N] ?"

       • Saisie des informations d’identification
       • Refuser (saisissez « N ») pour la reconfiguration, car toutes les options ont été configurées ci-dessus

         "certool.cfg file exists, Do you wish to reconfigure : Option[Y/N] ?"

       • Confirmer

         "You are going to regenerate Solution User Certificates using VMCA, Continue operation : Option[Y/N] ?"

       • Patientez jusqu’à ce que la procédure se ferme. Cette procédure :
         • Génère tous les certificats
         • Arrête les services
         • Démarre les services
           
       • Vérifiez si tous les services sont en cours d’exécution

         service-control --all --status

         

     • Correction des certificats sur VCSA
       Arrêtez et démarrez tous les services. Cette opération DOIT être effectuée UNE FOIS que tous les services PSC sont en cours d’exécution.

       • Arrêter

         service-control --all --stop

       • Commencer

         service-control --all --start

         
       • Attendez que le processus expire ou arrêtez-le lorsqu’il arrive au service vmware-vmon

         /usr/lib/vmware-vmca/bin/certificate-manager

       • Sélectionnez l’option 8 > Réinitialiser tous les certificats
       • Démarrer le Gestionnaire de certificats
       • Confirmer

         "Do you wish to generate all certificates using configuration file : Option[Y/N] ?"

       • Saisie des informations d’identification
         
       • Saisissez l’adresse IP du PSC.
       • Saisir des valeurs
         • Laissez le champ IPAddress vide
         • Saisir le nom d’hôte comme FQDN de VCSA
         • Le champ Nom VMCA est le nom de la nouvelle autorité de certification racine en cours de création, par exemple, l’autorité de certification VxRail.
       • Confirmer

         "Continue operation : Option[Y/N] ?"

       • Confirmer

         "Continue operation : Option[Y/N] ?"

         
       • Patientez jusqu’à ce que tous les certificats soient générés et qu’un message de réussite s’affiche

         "Reset status : 100% Completed [Reset completed successfully]"

         
          
         
       • Vérifiez que tous les services sont en cours d’exécution

         service-control --all --status

         
       • Accéder à l’interface utilisateur vCenter
       • L’accès par l’entrée DNS (Domain Name System) échoue dans Chrome en raison de la sécurité de transport stricte HTTP (HSTS). Ouvrez l’adresse IP VCSA ou utilisez un autre navigateur pris en charge, tel que FireFox.
         
         

Pour le scénario 2, lorsque le certificat vCenter expire dans moins de 60 jours, suivez la procédure ci-dessous pour renouveler le certificat à l’avance afin d’éviter que VxRail Manager ne se déconnecte de vCenter.

1. Connectez-vous à vCenter via SSH en tant qu’utilisateur root.

2. Redémarrer les services

   • Exécuter et arrêter

     "service-control --stop --all"

   • Démarrer l’exécution

     "service-control --start --all"

3. Réinitialiser tous les certificats

   • Exécutez la commande suivante :

     "/usr/lib/vmware-vmca/bin/certificate-manager"

   • Sélectionnez l’option 8 > Réinitialiser tous les certificats
     
   • Saisissez le nom d’utilisateur et le mot de passe vSphere
     
   • Saisissez les propriétés du certificat
     
   • Confirmez l’opération, puis la racine ou la machine vCenter Les certificats sont renouvelés
     

4. Suivez l’article Dell VxRail : Comment importer manuellement le certificat SSL vCenter dans VxRail Manager pour importer les certificats vCenter et CA mis à jour dans le magasin de confiance VxRail Manager.

• Prenez TOUJOURS des snapshots des machines virtuelles système (PSC, VCSA et VRM) avant de suivre cet article.
• Cette procédure s’applique aux machines virtuelles PSC VCSA qui sont gérées via VxRail LCM.

• Si un utilisateur dispose de certificats de sa propre infrastructure, il peut les remplacer maintenant.
• Après le correctif pour VxRail 4.7.100 et versions ultérieures, suivez l’article de la base de connaissances Dell VxRail : Comment importer manuellement un certificat SSL vCenter dans VxRail Manager pour importer un nouveau certificat racine dans VRM (le plug-in ne fonctionne pas).