Skip to main content
Sign Out

Welcome to Dell

My Account
  • Place orders quickly and easily
  • View orders and track your shipping status
  • Enjoy members-only rewards and discounts
  • Create and access a list of your products
Sign In Create an Account Dell Financial Services Premier Sign In Partner Program Sign In
Contact Us

Your Dell.com Carts

「VxRail:証明書の有効期限が切れているためvCenterにログインできない

Summary: VxRail 4.5および4.7: 証明書の有効期限が切れているため、vCenterにログインできません。証明書を再発行する必要があります。 VxRail 7.0.480以降: 証明書の有効期限が60日以内に切れることに対する警告が表示され、事前に証明書を更新することをお勧めします。

This article applies to This article does not apply to This article is not tied to any specific product. Not all product versions are identified in this article.
Check out other resources

Symptoms

シナリオ1:vCenter証明書の有効期限が切れています(すべてのVxRailバージョンの場合)。

  • vCenter UIにログインできません。
  • Web UIが使用可能な場合のログイン試行は、正しい認証情報を使用しても失敗します。
    VCSA Webログインでログイン試行後に「ユーザー名とパスワードが必要です」と表示される
  • vCenter Server Appliance (VCSA)サービスの再起動が失敗します。
  • サービスを再起動しても、すべてのサービスが起動するわけではありません。

 

確認されたエラー: 
/var/log/vmware/vpxd-svcs/vpxd-svcs.log:
2020-06-03T09:31:04.523Z [pool-8-thread-1  INFO  com.vmware.identity.token.impl.X509TrustChainKeySelector  opId=905f6864-c067-4db6-828c-1d59c4b43bf8] Failed to find trusted path to signing certificate <CN=ssoserverSign>
sun.security.provider.certpath.SunCertPathBuilderException: unable to find valid certification path to requested target
        at sun.security.provider.certpath.SunCertPathBuilder.build(SunCertPathBuilder.java:141)

 

シナリオ2:vCenter証明書の有効期限が60日以内に切れます。(VxRail 7.0.480以降のバージョンの場合)

  • vCenter UIへのログインは完了しているが、VxRail 7.0.480以降のバージョンでは、VxRail Cluster> Configure > VxRail > Certificate > All Trust Store Certificatesページに、証明書の有効期限が60日未満であることを示す警告が表示されます。
    VCSA UIに証明書の有効期限に関する警告が表示される

Cause

vCenter証明書の有効期限が切れているか、間もなく期限切れになります。
4.7より前に最初に構築されたVxRailバージョンには、インストール日から2年間の有効期間を持つ証明書が発行されている場合があります。この記事の執筆時点では、4.7.410のVxRailビルドには、有効期間が10年の証明書がすべて含まれています

マイナー バージョンのアップグレードでは、証明書には影響しません
4.5.210以降のバージョンで最初に構築されたVxRailの場合、証明書の有効期間は2年間です。詳細な説明を確認するには、VMwareの記事「VMware Security Token Service (STS) Checking Expiration of STS Certificate on vCenter Servers (79248)」このハイパーリンクをクリックすると、デル・テクノロジーズ以外のWebサイトにアクセスします。を参照してください

VCSAのログイン ページのブラウザーで証明書を表示して、証明書の有効期限が切れていることを確認します。または、Platform Services Controller (PSC) (VCSA)のCLIで証明書を一覧表示します。VMwareの記事「VCSA 6.5.x、6.7.xまたはvCenter Server 7.0.x、8.0.xでの「署名証明書が有効ではありません」エラー」のコマンドを参照してください。(76719) このハイパーリンクをクリックすると、デル・テクノロジーズ以外のWebサイトにアクセスします。

for i in $(/usr/lib/vmware-vmafd/bin/vecs-cli store list); do echo STORE $i; /usr/lib/vmware-vmafd/bin/vecs-cli entry list --store $i --text | egrep "Alias|Not After"; done

Resolution

シナリオ1では、vCenter証明書の有効期限がすでに切れている場合は、次の手順に従って、PSCおよびVCSAで新しい自己署名証明書を生成します。

注:この手順は、VxRail LifeCycle Manager (LCM)を介して維持される単一のPSCまたはVCSA VMを対象としています。HA、ELM、またはお客様が導入したVCSAの場合は、VMwareチケットをオープンしてください。
注:VxRail Manager(VRM)、PSC、VCSAの スナップショットをオフライン で作成します。
注:スナップショット作成プロセスがエラーなしで終了したかどうかを確認します。有効なスナップショットがない状態で続行しないでください。
注:問題が発生した場合は、スナップショットに戻さずに再試行しないでください。

  1. PSCの修正:
    すべての証明書をリセットします(これは失敗しますが、これは想定内です)。

    • 証明書マネージャーを起動します。 
      /usr/lib/vmware-vmca/bin/certificate-manager
    • オプション 8 > すべての証明書をリセット を選択します。
      • [Confirm] 
        "Do you wish to generate all certificates using configuration file : Option[Y/N] ?"
      • 資格情報の入力
        CLI証明書マネージャーのメイン メニュー
      • 値の入力
        • [IPAddress] フィールドは空のままにします
        • PSCの完全修飾ドメイン名(FQDN)としてホスト名を入力します
        • VMware認証局(VMCA)名 フィールドは、 作成される新しいルートCAの名前です(例:VxRail CA)。
      • [Confirm] 
        "Continue operation : Option[Y/N] ?"
      • [Confirm] 
        "Continue operation : Option[Y/N] ?"
        • この操作は、次のエラーで失敗します。 
          Get site nameCompleted [Reset Machine SSL Cert...]
g3node-site
Lookup all services
Get service xxxxxx-site:xxxxxxx-d202-4d8f-9282-xxxxxx317b8f
Update service xxxxxx-site:xxxxxxxx-d202-4d8f-9282-xxxxxx317b8f; spec: /tmp/svcspec_a1hipoqq

Status : 0% Completed [Reset operation failed]

please see /var/log/vmware/vmcad/certificate-manager.log for more information.
root@xxxxc [ ~ ]#
          CLI証明書マネージャーが失敗する

      • STSの問題を修正します
        VCSA 6.5.x、6.7.xまたはvCenter Server 7.0.x、8.0.xのVMware記事「署名証明書が有効ではありません」エラーからスクリプトをダウンロードして実行します。(76719) このハイパーリンクをクリックすると、デル・テクノロジーズ以外のWebサイトにアクセスします。
        スクリプト実行のスクリーンショット

        • サービスの停止 
          service-control --all --stop
        • サービスを開始します (これは失敗しますが、想定どおりの動作です) 
          service-control --all --start
          CLIサービスの停止と開始
        • プロセスがタイムアウトするまで待つか、「vmware-vmon」 サービスになったら停止します 
          /usr/lib/vmware-vmca/bin/certificate-manager
        • オプション6>[ソリューション ユーザー証明書をVMCA証明書に置き換える]を選択します。
        • [Confirm] 
          "Do you wish to generate all certificates using configuration file : Option[Y/N] ?"
        • 資格情報の入力
        • 拒否(「N」と入力)は、上記ですべてのオプションが構成されているため、再構成します 
          "certool.cfg file exists, Do you wish to reconfigure : Option[Y/N] ?"
        • [Confirm] 
          "You are going to regenerate Solution User Certificates using VMCA, Continue operation : Option[Y/N] ?"
        • プロシージャーが終了するまで待ちます。この手順では、次のことを行います。
          • すべての証明書を生成します
          • サービスを停止します
          • サービスを開始します
            CLI証明書マネージャーが成功しました。
        • すべてのサービスが実行されているかどうかを確認します 
          service-control --all --status
          すべてのサービスのステータスを確認します。

      • VCSAの証明書を修正します
        すべてのサービスを停止して開始します。これは、すべてのPSCサービスが実行された後に実行する必要があります

        • Stop(停止) 
          service-control --all --stop
        • Start 
          service-control --all --start
          サービスを開始および停止します。
        • プロセスがタイムアウトするまで待つか、 vmware-vmon サービスに到達したら停止します 
          /usr/lib/vmware-vmca/bin/certificate-manager
        • オプション 8 > すべての証明書をリセット を選択します。
        • Certificate Managerの起動
        • [Confirm] 
          "Do you wish to generate all certificates using configuration file : Option[Y/N] ?"
        • 資格情報の入力
          CLI証明書マネージャーの認証情報の入力
        • PSC IPの入力
        • 値の入力
          • [IPAddress]フィールドは空のままにします
          • VCSAのFQDNとしてホスト名を入力します
          • VMCA名 フィールドは、 作成される新しいルートCAの名前です(例:VxRail CA)。
        • [Confirm] 
          "Continue operation : Option[Y/N] ?"
        • [Confirm] 
          "Continue operation : Option[Y/N] ?"
          CLI certificate manager 環境情報の入力
        • すべての証明書が生成され、正常に完了したことを示すメッセージが表示されるまで待ちます 
          "Reset status : 100% Completed [Reset completed successfully]"
          証明書の置き換えが開始されました
           
          証明書の交換が正常に完了しました。
        • すべてのサービスが実行されていることを確認する 
          service-control --all --status
          実行中の状態のすべてのサービス
        • vCenter UIへのアクセス
        • HTTP Strict Transport Security(HSTS)が原因で、Chromeでドメイン ネーム システム(DNS)エントリーによるアクセスが失敗します。VCSA IPを開くか、FireFoxなどの別のサポートされているブラウザーを使用します。
          証明書の警告
          IP経由のHSTSアクセスが必要なため

 

シナリオ2では、vCenter証明書の有効期限が60日以内に切れる場合は、VxRail ManagerがvCenterから切断されるのを回避するために、次の手順に従って事前に証明書を更新します。

  1. rootユーザーとしてSSH経由でvCenterにログインします。

  2. サービスの再起動

    • 実行 停止 
      "service-control --stop --all"
    • ファイル名を指定して実行 開始 
      "service-control --start --all"

  3. すべての証明書をリセット

    • 次を実行: 
      "/usr/lib/vmware-vmca/bin/certificate-manager"
    • オプション 8 > すべての証明書をリセット を選択します。
      すべての証明書をリセットする(オプション8)
    • vSphereのユーザー名とパスワードを入力します
      vSphereユーザーとパスワードを入力します
    • 証明書のプロパティを入力します
      CLI証明書マネージャー、情報の入力
    • 操作を確認すると、vCenterのrootまたはマシンの証明書が更新されます
      証明書が更新されたことを確認する

  4. 記事「 Dell VxRail: 更新されたvCenter証明書とCA証明書をVxRail Managerトラスト ストアにインポートするために、VxRail ManagerでvCenter SSL証明書を手動でインポートする方法

Additional Information

  • この記事に従う前に、必ずシステムVM(PSC、VCSA、VRM)のスナップショットを作成してください。
  • この手順は、VxRail LCMを通じて維持されるPSC VCSA VMを対象としています。
メモ: 一部のサード パーティー製品を再登録するか、新しいVMCAルートCAを信頼済みとして追加する必要があります(製品固有 - 製品ドキュメントを確認してください)。これは、ルート証明書またはVCSA証明書の変更により通信が切断されるためです。

Affected Products

VxRail Appliance Family, VxRail Appliance Series
Article Properties
Article Number: 000082108
Article Type: Solution
Last Modified: 21 Sept 2024
Version:  9
Find answers to your questions from other Dell users
Support Services
Check if your device is covered by Support Services.