Skip to main content
  • Place orders quickly and easily
  • View orders and track your shipping status
  • Enjoy members-only rewards and discounts
  • Create and access a list of your products

VxRail: Nelze se přihlásit do nástroje vCenter kvůli vypršení platnosti certifikátů

Summary: VxRail 4.5 a 4.7: Nelze se přihlásit k nástroji vCenter kvůli vypršení platnosti certifikátů. Certifikáty je nutné vystavit znovu. VxRail 7.0.480 nebo novější: Zobrazí se varování v případě, že platnost certifikátu vyprší za méně než 60 dní. Doporučujeme certifikát předem obnovit. ...

This article applies to This article does not apply to This article is not tied to any specific product. Not all product versions are identified in this article.

Symptoms

1. scénář: Platnost certifikátu vCenter již vypršela. (pro všechny verze VxRail)

  • Nelze se přihlásit do uživatelského rozhraní vCenter.
  • Jakýkoli pokus o přihlášení, když je k dispozici webové uživatelské rozhraní, selže, a to i se správnými přihlašovacími údaji.
    VCSA Web Přihlášení zobrazí po pokusu o přihlášení
  • Restartování služeb vCenter Server Appliance (VCSA) se nezdařilo.
  • Restartování služeb nezobrazí všechny služby.

 

Zobrazené chyby:
/var/log/vmware/vpxd-svcs/vpxd-svcs.log:
2020-06-03T09:31:04.523Z [pool-8-thread-1  INFO  com.vmware.identity.token.impl.X509TrustChainKeySelector  opId=905f6864-c067-4db6-828c-1d59c4b43bf8] Failed to find trusted path to signing certificate <CN=ssoserverSign>
sun.security.provider.certpath.SunCertPathBuilderException: unable to find valid certification path to requested target
        at sun.security.provider.certpath.SunCertPathBuilder.build(SunCertPathBuilder.java:141)

 

2. scénář: Platnost certifikátu vCenter vyprší za méně než 60 dní. (Pro verzi VxRail 7.0.480 a vyšší)

  • Přihlášení k uživatelskému rozhraní vCenter je dokončeno, ale VxRail 7.0.480 a novější verze zobrazují na stránce Configure > VxRail >> Certificate >All TrustStore Certificates varování s informací, že platnost certifikátu vyprší za méně než 60 dní.
    Upozornění na konec platnosti certifikátu v uživatelském rozhraní VCSA

Cause

Platnost certifikátů vCenter vyprší nebo brzy
vyprší.Verze VxRail, které byly původně vyrobeny před verzí 4.7, mohou mít certifikáty s životností dva roky od data instalace. V době psaní tohoto článku má zařízení VxRail verze 4.7.410 všechny certifikáty s 10letou životností.

Upgrady podverze se nedotýkají certifikátů!
Pro systém VxRail, který byl původně vytvořen na verzi 4.5.210 a novějších verzích, mají certifikáty dvouletou dobu platnosti. Podrobný popis najdete v článku společnosti VMware ohledně kontroly vypršení platnosti certifikátu STS (VMware Security Token Service (STS) na serverech vCenter (79248).Tento hypertextový odkaz vás zavede na webové stránky mimo společnost Dell Technologies.

Pomocí zobrazení certifikátu v prohlížeči na přihlašovací stránce VCSA potvrďte, že platnost certifikátu vypršela. Nebo zobrazte certifikáty v rozhraní příkazového řádku řadiče PSCA (Platform Services Controller) (VCSA). Viz příkazy z článku VMware "Signing certificate is not valid" ve verzi VCSA 6.5.x,6.7.x nebo vCenter Server 7.0.x, 8.0.x. (76719) Tento hypertextový odkaz vás zavede na webové stránky mimo společnost Dell Technologies.

for i in $(/usr/lib/vmware-vmafd/bin/vecs-cli store list); do echo STORE $i; /usr/lib/vmware-vmafd/bin/vecs-cli entry list --store $i --text | egrep "Alias|Not After"; done

Resolution

V případě scénáře 1, kdy platnost certifikátu vCenter již vypršela, postupujte podle níže uvedeného postupu a vygenerujte nové certifikáty podepsané držitelem na službách PSC a VCSA.

Poznámka: Tento postup je určen pro jednotlivé virtuální počítače PSC nebo VCSA, které jsou udržovány prostřednictvím nástroje VxRail LifeCycle Manager (LCM). V případě řešení VCSA nasazených řešením HA, ELM nebo zákazníkem otevřete požadavek VMware!
Poznámka: Pořizujte OFFLINE snímky nástrojů VxRail Manager (VRM), PSC a VCSA!
Poznámka: Zkontrolujte, zda se snapshot vytvořil bez chyb! NEPOKRAČUJTE bez platných snapshotů!
Poznámka: Pokud dojde k problémům, neopakujte akci bez vrácení snapshotů!
  1. Oprava PSC:
    Resetovat všechny certifikáty (tato možnost se nezdaří, ale očekává se.)

    • Spusťte Správce certifikátů:
      /usr/lib/vmware-vmca/bin/certificate-manager
    • Vyberte možnost 8 > : Resetovat všechny certifikáty
      • Confirm
        "Do you wish to generate all certificates using configuration file : Option[Y/N] ?"
      • Zadání přihlašovacích údajů
        Hlavní nabídka nástroje CLI Certificate Manager
      • Zadat hodnoty
        • Nechte pole "IPAddress" prázdné.
        • Zadejte název hostitele jako plně kvalifikovaný název domény (FQDN) řadiče PSC.
        • Pole Název certifikační autority VMware (VMCA) je název vytvářené nové kořenové certifikační autority, například VxRail CA.
      • Confirm
        "Continue operation : Option[Y/N] ?"
      • Confirm
        "Continue operation : Option[Y/N] ?"
        • Tato operace selže s chybami:
          Get site nameCompleted [Reset Machine SSL Cert...]
          g3node-site
          Lookup all services
          Get service xxxxxx-site:xxxxxxx-d202-4d8f-9282-xxxxxx317b8f
          Update service xxxxxx-site:xxxxxxxx-d202-4d8f-9282-xxxxxx317b8f; spec: /tmp/svcspec_a1hipoqq
          
          Status : 0% Completed [Reset operation failed]
          
          please see /var/log/vmware/vmcad/certificate-manager.log for more information.
          root@xxxxc [ ~ ]#
          Selhání správce certifikátů v rozhraní příkazového řádku
      • Oprava problému
        se službou STS Stáhněte a spusťte skript z článku VMware "Signing certificate is not valid" ve verzi VCSA 6.5.x,6.7.x nebo vCenter Server 7.0.x, 8.0.x. (76719) Tento hypertextový odkaz vás zavede na webové stránky mimo společnost Dell Technologies.
        Snímek obrazovky spuštění skriptu

        • Zastavení služeb
          service-control --all --stop
        • Spustit služby (to se nepodaří, ale to se očekává)
          service-control --all --start
          Služby zastavení a spuštění pomocí rozhraní příkazového řádku
        • Počkejte, až vyprší časový limit procesu, nebo jej zastavte, když se dostane do služby "vmware-vmon"
          /usr/lib/vmware-vmca/bin/certificate-manager
        • Vyberte možnost 6 > "Nahradit uživatelské certifikáty řešení certifikáty VMCA"
        • Confirm
          "Do you wish to generate all certificates using configuration file : Option[Y/N] ?"
        • Zadání přihlašovacích údajů
        • Zamítnout (zadejte "N") pro rekonfiguraci, protože všechny možnosti byly nakonfigurovány výše
          "certool.cfg file exists, Do you wish to reconfigure : Option[Y/N] ?"
        • Confirm
          "You are going to regenerate Solution User Certificates using VMCA, Continue operation : Option[Y/N] ?"
        • Počkejte, dokud se postup neukončí. Tento postup:
          • Generuje všechny certifikáty
          • Zastaví služby
          • Spustí služby.
            Úspěch správce certifikátů CLI.
        • Zkontrolujte , zda jsou spuštěny všechny služby .
          service-control --all --status
          Zkontrolujte stav všech služeb.
      • Oprava certifikátů na VCSA
        Zastavte a spusťte všechny služby. To MUSÍ být provedeno PO spuštění všech služeb PSC!

        • Zastavit
          service-control --all --stop
        • Spustit
          service-control --all --start
          Spuštění a zastavení služeb.
        • Počkejte, až vyprší časový limit procesu, nebo jej zastavte, když se dostane do služby vmware-vmon
          /usr/lib/vmware-vmca/bin/certificate-manager
        • Vyberte možnost 8 > : Resetovat všechny certifikáty
        • Spustit Správce certifikátů
        • Confirm
          "Do you wish to generate all certificates using configuration file : Option[Y/N] ?"
        • Zadání přihlašovacích údajů
          Zadejte přihlašovací údaje do správce certifikátů rozhraní příkazového řádku.
        • Zadejte IP adresu PSC.
        • Zadat hodnoty
          • Nechte pole IPAddress prázdné.
          • Zadejte název hostitele jako plně kvalifikovaný název domény VCSA.
          • Pole Název VMCA je název nově vytvářené kořenové certifikační autority, například VxRail CA.
        • Confirm
          "Continue operation : Option[Y/N] ?"
        • Confirm
          "Continue operation : Option[Y/N] ?"
          Informace o prostředí v nástroji CLI pro správce certifikátů
        • Počkejte, až se vygenerují všechny certifikáty a zobrazí se zpráva o úspěšném dokončení.
          "Reset status : 100% Completed [Reset completed successfully]"
          Výměna certifikátu zahájena
           
          Výměna certifikátu byla úspěšně dokončena.
        • Zkontrolujte, zda jsou spuštěny všechny služby.
          service-control --all --status
          Všechny služby ve spuštěném stavu
        • Přístup k uživatelskému rozhraní vCenter
        • Přístup pomocí položky DNS (Domain Name System) v prohlížeči Chrome selže kvůli přísnému zabezpečení přenosu HTTP (HSTS). Otevřete adresu VCSA IP adresu nebo použijte jiný podporovaný prohlížeč, například FireFox.
          Varování certifikátu
          Vzhledem k HSTS je nutný přístup přes IP

 

V případě 2. scénáře, kdy platnost certifikátu vCenter vyprší za méně než 60 dní, postupujte podle níže uvedeného postupu a obnovte certifikát předem, aby nedošlo k odpojení nástroje VxRail Manager od nástroje vCenter.

  1. Přihlaste se k nástroji vCenter přes SSH jako uživatel root.

  2. Restartovat služby

    • Spustit Zastavit
      "service-control --stop --all"
    • Spustit Start
      "service-control --start --all"
  3. Resetovat všechny certifikáty

    • Spusťte příkaz:
      "/usr/lib/vmware-vmca/bin/certificate-manager"
    • Vyberte možnost 8 > : Resetovat všechny certifikáty
      Resetovat všechny certifikáty (možnost 8)
    • Zadejte uživatelské jméno a heslo vSphere.
      Zadejte uživatele a heslo vSphere.
    • Vyplňte vlastnosti certifikátu.
      Správce certifikátů CLI, zadejte informace
    • Potvrďte operaci a poté se obnoví kořenový certifikát nebo certifikát počítače vCenter.
      Potvrďte obnovení certifikátů
  4. Postupujte podle článku Dell VxRail: Jak ručně importovat certifikát vCenter SSL v nástroji VxRail Manager za účelem importu aktualizovaných certifikátů vCenter a certifikační autority do úložiště důvěryhodných certifikátů VxRail Manager.

Additional Information

  • VŽDY pořiďte snapshoty systémových virtuálních počítačů (PSC, VCSA a VRM), než budete postupovat podle tohoto článku.
  • Tento postup je určen pro virtuální počítače PSC VCSA, které jsou udržovány prostřednictvím VxRail LCM.
POZNÁMKA: Některé produkty třetích stran je nutné znovu zaregistrovat nebo přidat novou kořenovou certifikační autoritu VMCA jako důvěryhodnou (pro konkrétní produkt – viz dokumentace k produktu). Komunikace je přerušena kvůli změně kořenového certifikátu nebo certifikátu VCSA.

Affected Products

VxRail Appliance Family, VxRail Appliance Series
Article Properties
Article Number: 000082108
Article Type: Solution
Last Modified: 21 Sept 2024
Version:  9
Find answers to your questions from other Dell users
Support Services
Check if your device is covered by Support Services.