VxRail：由於憑證過期，無法登入 vCenter

案例 1：vCenter 憑證已到期。(適用於所有 VxRail 版本)

• 無法登入 vCenter UI。
• 當 Web UI 可用時，即使使用正確的登入資料，任何登入嘗試都會失敗。
  
• vCenter Server Appliance （VCSA） 服務重新啟動失敗。
• 重新啟動服務不會啟動所有服務。

/var/log/vmware/vpxd-svcs/vpxd-svcs.log:
2020-06-03T09:31:04.523Z [pool-8-thread-1  INFO  com.vmware.identity.token.impl.X509TrustChainKeySelector  opId=905f6864-c067-4db6-828c-1d59c4b43bf8] Failed to find trusted path to signing certificate <CN=ssoserverSign>
sun.security.provider.certpath.SunCertPathBuilderException: unable to find valid certification path to requested target
        at sun.security.provider.certpath.SunCertPathBuilder.build(SunCertPathBuilder.java:141)

案例 2：vCenter 憑證將在不到 60 天後到期。（適用於 VxRail 7.0.480 及更新版本）

• 已完成登入 vCenter UI，但 VxRail 7.0.480 及更新版本在 VxRail Cluster > 設定>「VxRail > 憑證>所有信任存放區憑證」頁面顯示警告，指出憑證將在 60 天內到期。
  

vCenter 憑證已到期或即將到期。
最初建構於 4.7 之前的 VxRail 版本，核發的憑證壽命為自安裝之日起兩年。在撰寫本文時，以 4.7.410 為基礎的 VxRail 組建具有所有有效期為 10 年的憑證。

次要版本升級不會碰到憑證！
如果是最初建置於 4.5.210 及更新版本的 VxRail，憑證的有效期為兩年。請參閱 VMware Security Token Service （STS） 的 VMware 文章在 vCenter Server 上檢查 STS 憑證是否到期 （79248），以確認詳細說明。

使用 VCSA 登入頁面的瀏覽器中檢視憑證，確認憑證已到期。或在平台服務控制器 （PSC） （VCSA） 的 CLI 中列出憑證。請參閱 VCSA 6.5.x、6.7.x 或 vCenter Server 7.0.x、8.0.x 中的 VMware 文章「簽署憑證無效」錯誤的命令。(76719)

for i in $(/usr/lib/vmware-vmafd/bin/vecs-cli store list); do echo STORE $i; /usr/lib/vmware-vmafd/bin/vecs-cli entry list --store $i --text | egrep "Alias|Not After"; done

對於案例 1，當 vCenter 憑證已過期時，請按照以下程序在 PSC 和 VCSA 上產生新的自我簽署憑證。

1. 修正 PSC：
   重設所有憑證 （這會失敗，但這是預期中的作業。）

   • 啟動憑證管理員：

     /usr/lib/vmware-vmca/bin/certificate-manager

   • 選取 選項 8 > ：重設所有憑證
     • 確認

       "Do you wish to generate all certificates using configuration file : Option[Y/N] ?"

     • 輸入登入資料
       
     • 輸入值
       • 將「IPAddress」 欄位保留空白
       • 輸入 主機名稱 作為 PSC 的完整網域名稱 （FQDN）
       • VMware 認證機構 （VMCA） 名稱 欄位是 正在建立的新根 CA 的名稱，例如 VxRail CA。
     • 確認

       "Continue operation : Option[Y/N] ?"

     • 確認

       "Continue operation : Option[Y/N] ?"

       • 此作業失敗，並傳回：

         Get site nameCompleted [Reset Machine SSL Cert...]
         g3node-site
         Lookup all services
         Get service xxxxxx-site:xxxxxxx-d202-4d8f-9282-xxxxxx317b8f
         Update service xxxxxx-site:xxxxxxxx-d202-4d8f-9282-xxxxxx317b8f; spec: /tmp/svcspec_a1hipoqq
         
         Status : 0% Completed [Reset operation failed]
         
         please see /var/log/vmware/vmcad/certificate-manager.log for more information.
         root@xxxxc [ ~ ]#

         

     • 修正 STS 問題
       ，在 VCSA 6.5.x、6.7.x 或 vCenter Server 7.0.x、8.0.x 中，從 VMware 文章「簽署憑證無效」錯誤下載並執行指令檔。(76719)
       

       • 停止服務

         service-control --all --stop

       • 啟動服務 （這會失敗，但這是預期中的作業）

         service-control --all --start

         
       • 等待程序逾時或在到達「vmware-vmon」 服務時停止

         /usr/lib/vmware-vmca/bin/certificate-manager

       • 選取 選項 6 > 「將解決方案使用者憑證更換成 VMCA 憑證」
       • 確認

         "Do you wish to generate all certificates using configuration file : Option[Y/N] ?"

       • 輸入登入資料
       • 拒絕 （輸入「N」） 以進行重新設定，因為以上所有選項均已設定

         "certool.cfg file exists, Do you wish to reconfigure : Option[Y/N] ?"

       • 確認

         "You are going to regenerate Solution User Certificates using VMCA, Continue operation : Option[Y/N] ?"

       • 等待程序結束。此程序：
         • 產生所有憑證
         • 停止服務
         • 啟動服務
           
       • 確認 是否所有 服務 都在執行中

         service-control --all --status

         

     • 修正 VCSA
       上的憑證 停止並啟動所有服務。這 必須在 所有 PSC 服務執行 後 完成！

       • 停止

         service-control --all --stop

       • 開始

         service-control --all --start

         
       • 等待程序逾時，或在到達 vmware-vmon 服務時停止

         /usr/lib/vmware-vmca/bin/certificate-manager

       • 選取 選項 8 > ：重設所有憑證
       • 啟動憑證管理員
       • 確認

         "Do you wish to generate all certificates using configuration file : Option[Y/N] ?"

       • 輸入登入資料
         
       • 輸入 PSC IP
       • 輸入值
         • 將 IPAddress 欄位留空
         • 輸入 主機名稱 作為 VCSA 的 FQDN
         • VMCA 名稱 欄位是 正在建立的新根 CA 的名稱，例如 VxRail CA。
       • 確認

         "Continue operation : Option[Y/N] ?"

       • 確認

         "Continue operation : Option[Y/N] ?"

         
       • 等待所有憑證產生，並出現成功完成訊息

         "Reset status : 100% Completed [Reset completed successfully]"

         
          
         
       • 檢查所有服務是否正在執行中

         service-control --all --status

         
       • 存取 vCenter UI
       • 由於 HTTP 嚴格傳輸安全性 （HSTS），Chrome 中的網域名稱系統 （DNS） 存取項目失敗。開啟 VCSA IP 或使用其他支援的瀏覽器，例如 FireFox。
         
         

對於狀況 2，當 vCenter 憑證在 60 天內到期時，請按照以下程序提前更新憑證，以避免 VxRail Manager 與 vCenter 中斷連線。

1. 以 root 使用者身分，透過 SSH 登入 vCenter

2. 重新啟動服務

   • 執行 停止

     "service-control --stop --all"

   • 執行 「開始」

     "service-control --start --all"

3. 重設所有憑證

   • 執行：

     "/usr/lib/vmware-vmca/bin/certificate-manager"

   • 選取 選項 8 > ：重設所有憑證
     
   • 輸入 vSphere 使用者名稱和密碼
     
   • 輸入憑證屬性
     
   • 確認 操作，然後更新 vCenter 根或機器 憑證
     

4. 請參考文章 Dell VxRail：如何在 VxRail Manager 上手動匯入 vCenter SSL 憑證 ，以將更新的 vCenter 和 CA 憑證匯入 VxRail Manager 信任存放區。

• 在遵循本文之前，請務必先拍攝系統 VM （PSC、VCSA 和 VRM） 的快照。
• 此程序適用於透過 VxRail LCM 維護的 PSC VCSA VM。

• 如果使用者擁有來自其自身基礎結構的憑證，則可以立即將其取代。
• 修正 VxRail 4.7.100 版及更新版本後，請遵循 KB 文章 Dell VxRail：如何在 VxRail Manager 上手動匯入 vCenter SSL 憑證 ，以將新的根憑證匯入 VRM （附掛程式無法運作）。