Skip to main content
  • Place orders quickly and easily
  • View orders and track your shipping status
  • Enjoy members-only rewards and discounts
  • Create and access a list of your products

VxRail: Impossibile accedere a vCenter a causa di certificati scaduti

Summary: VxRail 4.5 e 4.7: Impossibile accedere a vCenter a causa di certificati scaduti. I certificati devono essere riemessi. VxRail 7.0.480 o versioni successive: Viene visualizzato un avviso se il certificato scade in meno di 60 giorni, si consiglia di rinnovare il certificato in anticipo. ...

This article applies to This article does not apply to This article is not tied to any specific product. Not all product versions are identified in this article.

Symptoms

Scenario 1: Il certificato vCenter è già scaduto. (per tutte le versioni di VxRail)

  • Impossibile accedere all'interfaccia utente di vCenter.
  • Qualsiasi tentativo di accesso quando l'interfaccia utente web è disponibile non riesce anche con le credenziali corrette.
    VCSA Web Login mostra
  • Il riavvio dei servizi vCenter Server Appliance (VCSA) non riesce.
  • Il riavvio dei servizi non attiva tutti i servizi.

 

Errori osservati:
/var/log/vmware/vpxd-svcs/vpxd-svcs.log:
2020-06-03T09:31:04.523Z [pool-8-thread-1  INFO  com.vmware.identity.token.impl.X509TrustChainKeySelector  opId=905f6864-c067-4db6-828c-1d59c4b43bf8] Failed to find trusted path to signing certificate <CN=ssoserverSign>
sun.security.provider.certpath.SunCertPathBuilderException: unable to find valid certification path to requested target
        at sun.security.provider.certpath.SunCertPathBuilder.build(SunCertPathBuilder.java:141)

 

Scenario 2: Il certificato vCenter scade tra meno di 60 giorni. (per VxRail 7.0.480 e versioni successive)

  • L'accesso all'interfaccia utente di vCenter è stato completato, ma VxRail 7.0.480 e versioni successive mostrano un avviso nella pagina VxRail Cluster > Configure > VxRail > Certificate >All Trust Store Certificates in cui si afferma che il certificato scade tra meno di 60 giorni.
    Avviso di scadenza del certificato nell'interfaccia utente di vCSA

Cause

I certificati vCenter sono scaduti o in scadenza a breve.
Le versioni di VxRail create inizialmente prima della versione 4.7 possono avere certificati emessi con una durata di due anni a partire dalla data di installazione. Al momento della stesura di questo articolo, una build di VxRail su 4.7.410 dispone di tutti i certificati con una durata di 10 anni.

Gli aggiornamenti delle versioni secondarie non toccano i certificati.
Per un VxRail creato inizialmente sulla versione 4.5.210 e successive, i certificati hanno un periodo di validità di due anni. Per confermare la descrizione

dettagliata, consultare l'articolo VMware VMware Security Token Service (STS) Checking Expiration of STS Certificate on vCenter Server (79248).Questo link ipertestuale indirizza a un sito web esterno a Dell Technologies.Utilizzare la visualizzazione del certificato nel browser della pagina di accesso di VCSA per confermare che il certificato sia scaduto. In alternativa, elencare i certificati nella CLI di Platform Services Controller (PSC) (VCSA). Consultare i comandi dell'articolo VMware errore "Signing certificate is not valid" in VCSA 6.5.x,6.7.x o vCenter Server 7.0.x, 8.0.x. (76719) Questo link ipertestuale indirizza a un sito web esterno a Dell Technologies.

for i in $(/usr/lib/vmware-vmafd/bin/vecs-cli store list); do echo STORE $i; /usr/lib/vmware-vmafd/bin/vecs-cli entry list --store $i --text | egrep "Alias|Not After"; done

Resolution

Per lo scenario 1, quando il certificato vCenter è già scaduto, seguire la procedura riportata di seguito per generare nuovi certificati autofirmati su PSC e VCSA.

Nota: Questa procedura è destinata a singole VM PSC o VCSA gestite tramite VxRail LifeCycle Manager (LCM). Per i VCSA HA, ELM o implementati dal cliente, aprire un ticket VMware!
Nota: Acquisizione di snapshot OFFLINE di VxRail Manager (VRM), PSC e VCSA!
Nota: Verificare che il processo di creazione della snapshot sia terminato senza errori. NON continuare senza istantanee valide!
Nota: Se si verificano problemi, non riprovare senza tornare alle snapshot.
  1. Correzione di PSC:
    Reimpostare tutti i certificati (l'operazione non riesce, ma è prevista).

    • Avviare Certificate Manager:
      /usr/lib/vmware-vmca/bin/certificate-manager
    • Selezionare l'opzione 8 > Reimposta tutti i certificati
      • Confirm
        "Do you wish to generate all certificates using configuration file : Option[Y/N] ?"
      • Inserisci credenziali
        Menu principale di CLI certificate manager
      • Inserisci valori
        • Lasciare vuoto il campo "IPAddress"
        • Inserire il nome host come nome di dominio completo (FQDN) di PSC
        • Il campo VMware Certificate Authority (VMCA) Name è il nome di una nuova CA root in fase di creazione, ad esempio VxRail CA.
      • Confirm
        "Continue operation : Option[Y/N] ?"
      • Confirm
        "Continue operation : Option[Y/N] ?"
        • Questa operazione ha esito negativo con:
          Get site nameCompleted [Reset Machine SSL Cert...]
          g3node-site
          Lookup all services
          Get service xxxxxx-site:xxxxxxx-d202-4d8f-9282-xxxxxx317b8f
          Update service xxxxxx-site:xxxxxxxx-d202-4d8f-9282-xxxxxx317b8f; spec: /tmp/svcspec_a1hipoqq
          
          Status : 0% Completed [Reset operation failed]
          
          please see /var/log/vmware/vmcad/certificate-manager.log for more information.
          root@xxxxc [ ~ ]#
          Errore nel gestore dei certificati CLI
      • Risolvere il problema
        della funzione STS Scaricare ed eseguire lo script dall'articolo VMware errore "Signing certificate is not valid" in VCSA 6.5.x,6.7.x o vCenter Server 7.0.x, 8.0.x. (76719) Questo link ipertestuale indirizza a un sito web esterno a Dell Technologies.
        Schermata dell'esecuzione dello script

        • Arrestare i servizi
          service-control --all --stop
        • Avviare i servizi (l'operazione non riesce, ma è prevista)
          service-control --all --start
          Servizi di arresto e avvio della CLI
        • Attendere il timeout del processo o arrestarlo quando arriva al servizio "vmware-vmon"
          /usr/lib/vmware-vmca/bin/certificate-manager
        • Selezionare l'opzione 6 > "Sostituire i certificati utente della soluzione con i certificati VMCA"
        • Confirm
          "Do you wish to generate all certificates using configuration file : Option[Y/N] ?"
        • Inserisci credenziali
        • Deny (immettere "N") per la riconfigurazione poiché tutte le opzioni sono state configurate in precedenza
          "certool.cfg file exists, Do you wish to reconfigure : Option[Y/N] ?"
        • Confirm
          "You are going to regenerate Solution User Certificates using VMCA, Continue operation : Option[Y/N] ?"
        • Attendere l'uscita della procedura. Questa procedura:
          • Genera tutti i certificati
          • Arresta i servizi
          • Avvia i servizi
            Successo di CLI Certificate Manager.
        • Verifica dell'esecuzione di tutti i servizi
          service-control --all --status
          Controllare lo stato di tutti i servizi.
      • Correzione dei certificati su VCSA
        Arrestare e avviare tutti i servizi. Questa operazione DEVE essere eseguita DOPO l'esecuzione di tutti i servizi PSC.

        • Arresta
          service-control --all --stop
        • Start
          service-control --all --start
          Avviare e arrestare i servizi.
        • Attendere il timeout del processo o arrestarlo quando arriva al servizio vmware-vmon
          /usr/lib/vmware-vmca/bin/certificate-manager
        • Selezionare l'opzione 8 > Reimposta tutti i certificati
        • Avviare Certificate Manager
        • Confirm
          "Do you wish to generate all certificates using configuration file : Option[Y/N] ?"
        • Inserisci credenziali
          Gestione certificati CLI - Immissione delle credenziali
        • Inserire l'IP PSC
        • Inserisci valori
          • Lasciare vuoto il campo IPAddress
          • Inserire il nome host come FQDN di VCSA
          • Il campo VMCA Name è il nome della nuova CA root da creare, ad esempio VxRail CA.
        • Confirm
          "Continue operation : Option[Y/N] ?"
        • Confirm
          "Continue operation : Option[Y/N] ?"
          Gestione certificati CLI: inserimento delle informazioni sull'ambiente
        • Attendere la generazione di tutti i certificati e finché non viene visualizzato un messaggio di completamento
          "Reset status : 100% Completed [Reset completed successfully]"
          Sostituzione del certificato avviata
           
          Sostituzione del certificato completata correttamente.
        • Verificare che tutti i servizi siano in esecuzione
          service-control --all --status
          Tutti i servizi in esecuzione
        • Accesso all'interfaccia utente di vCenter
        • L'accesso alla voce DNS (Domain Name System) non riesce in Chrome a causa di HTTP Strict Transport Security (HSTS). Aprire l'IP VCSA o utilizzare un altro browser supportato, ad esempio FireFox.
          Avviso certificato
          A causa dell'HSTS, è necessario l'accesso tramite IP

 

Per lo scenario 2, quando il certificato vCenter scade tra meno di 60 giorni, seguire la procedura riportata di seguito per rinnovare il certificato in anticipo ed evitare la disconnessione di VxRail Manager da vCenter.

  1. Accedere a vCenter tramite SSH come utente root

  2. Riavviare i servizi

    • Arresto corsa
      "service-control --stop --all"
    • Esegui avvio
      "service-control --start --all"
  3. Reimpostare tutti i certificati

    • Eseguire:
      "/usr/lib/vmware-vmca/bin/certificate-manager"
    • Selezionare l'opzione 8 > Reimposta tutti i certificati
      Reimpostare tutti i certificati (opzione 8)
    • Inserire nome utente e password vSphere
      Inserire l'utente e la password di vSphere
    • Immettere le proprietà del certificato
      Gestione dei certificati CLI, inserire le informazioni
    • Confermare l'operazione e quindi rinnovare i certificati root o della macchina vCenter
      Conferma che i certificati sono stati rinnovati
  4. Consultare l'articolo Dell VxRail: Come importare manualmente il certificato SSL vCenter su VxRail Manager per importare i certificati vCenter e CA aggiornati nell'archivio dei certificati attendibili di VxRail Manager.

Additional Information

  • Eseguire SEMPRE snapshot delle VM di sistema (PSC, VCSA e VRM) prima di seguire questo articolo.
  • Questa procedura è destinata alle VM PSC VCSA gestite tramite VxRail LCM.
NOTA: Alcuni prodotti di terze parti devono essere registrati nuovamente o deve essere aggiunta la nuova CA radice VMCA per essere considerati affidabili (specifico del prodotto, consultare la documentazione del prodotto). Ciò poiché la comunicazione viene interrotta a causa di una modifica del certificato root o VCSA.

Affected Products

VxRail Appliance Family, VxRail Appliance Series
Article Properties
Article Number: 000082108
Article Type: Solution
Last Modified: 21 Sept 2024
Version:  9
Find answers to your questions from other Dell users
Support Services
Check if your device is covered by Support Services.