Skip to main content
  • Place orders quickly and easily
  • View orders and track your shipping status
  • Enjoy members-only rewards and discounts
  • Create and access a list of your products

VxRail. Не удается войти в vCenter из-за истечения срока действия сертификатов

Summary: VxRail 4.5 и 4.7: Не удается войти в vCenter из-за истечения срока действия сертификатов. Сертификаты необходимо выпускать повторно. VxRail 7.0.480 или более поздней версии: Отображается предупреждение о том, что срок действия сертификата истекает менее чем через 60 дней. Рекомендуется продлить сертификат заранее. ...

This article applies to This article does not apply to This article is not tied to any specific product. Not all product versions are identified in this article.

Symptoms

Сценарий 1. Срок действия сертификата vCenter уже истек. (Для всех версий VxRail.)

  • Не удается войти в пользовательский интерфейс vCenter.
  • Любая попытка входа при доступном веб-интерфейсе завершается сбоем даже при наличии правильных учетных данных.
    Веб-вход в VCSA отображает сообщение «имя пользователя и пароль необходимы» после попытки входа
  • Сбой перезапуска служб vCenter Server Appliance (VCSA).
  • Перезапуск служб приводит не ко всем службам.

 

Обнаруженные ошибки:
/var/log/vmware/vpxd-svcs/vpxd-svcs.log:
2020-06-03T09:31:04.523Z [pool-8-thread-1  INFO  com.vmware.identity.token.impl.X509TrustChainKeySelector  opId=905f6864-c067-4db6-828c-1d59c4b43bf8] Failed to find trusted path to signing certificate <CN=ssoserverSign>
sun.security.provider.certpath.SunCertPathBuilderException: unable to find valid certification path to requested target
        at sun.security.provider.certpath.SunCertPathBuilder.build(SunCertPathBuilder.java:141)

 

Сценарий 2. Срок действия сертификата vCenter истекает менее чем через 60 дней. (Для VxRail 7.0.480 и более поздних версий)

  • Вход в пользовательский интерфейс vCenter завершен, но в VxRail 7.0.480 и более поздних версий отображается предупреждение в кластере VxRail Настройка >> сертификата > VxRail >На странице «All Trust Store Certificates» указывается, что срок действия сертификата истекает менее чем через 60 дней.
    Предупреждение об истечении срока действия сертификата в пользовательском интерфейсе VCSA

Cause

Срок действия сертификатов vCenter истек или скоро истечет.
Версии VxRail, которые изначально были созданы до 4.7, могут иметь выданные сертификаты со сроком службы два года с даты установки. На момент написания этой статьи сборка VxRail 4.7.410 имеет все сертификаты со сроком службы 10 лет.

Обновления дополнительной версии не затрагивают сертификаты!
Для системы VxRail, которая изначально была создана на базе 4.5.210 и более поздних версий, срок действия сертификатов составляет два года. Чтобы подтвердить подробное описание, см.

статью VMware Security Token Service (STS) Проверка истечения срока действия сертификата STS на серверах vCenter (79248).Эта гиперссылка позволяет перейти на сайт за пределами Dell Technologies.Просмотр сертификата в браузере на странице входа в VCSA для подтверждения истечения срока действия сертификата. Или перечислите сертификаты в интерфейсе командной строки контроллера служб платформы (PSC) (VCSA). См. команды из статьи VMware «Сертификат подписи недействителен» в VCSA 6.5.x, 6.7.x или vCenter Server 7.0.x, 8.0.x. (76719) Эта гиперссылка позволяет перейти на сайт за пределами Dell Technologies.

for i in $(/usr/lib/vmware-vmafd/bin/vecs-cli store list); do echo STORE $i; /usr/lib/vmware-vmafd/bin/vecs-cli entry list --store $i --text | egrep "Alias|Not After"; done

Resolution

В сценарии 1, когда срок действия сертификата vCenter уже истек, выполните следующую процедуру для создания новых самозаверяющих сертификатов в PSC и VCSA.

Примечание. Эта процедура предназначена для отдельных виртуальных машин PSC или VCSA, которые обслуживаются с помощью VxRail LifeCycle Manager (LCM). Для HA, ELM или VCSA, развернутой заказчиком, откройте заявку VMware!
Примечание. Создавайте АВТОНОМНЫЕ снимки VxRail Manager (VRM), PSC и VCSA!
Примечание. Убедитесь, что процесс создания снимка завершился без ошибок! НЕ продолжайте без действительных моментальных снимков!
Примечание. Если возникли проблемы, не повторяйте попытку, не вернувшись к моментальным снимкам!
  1. Исправление PSC.
    Сбросить все сертификаты (Это приведет к сбою, но это ожидаемо).

    • Запуск диспетчера сертификатов.
      /usr/lib/vmware-vmca/bin/certificate-manager
    • Выберите вариант 8 > Сбросить все сертификаты
      • Confirm
        "Do you wish to generate all certificates using configuration file : Option[Y/N] ?"
      • Ввод учетных данных
        Главное меню диспетчера сертификатов интерфейса командной строки
      • Ввести значения
        • Оставьте поле «IPAddress» пустым
        • Введите имя хоста в качестве полного доменного имени (FQDN) PSC
        • Поле Имя источника сертификатов VMware (VMCA) — это имя нового создаваемого корневого центра сертификации, например источник сертификатов VxRail.
      • Confirm
        "Continue operation : Option[Y/N] ?"
      • Confirm
        "Continue operation : Option[Y/N] ?"
        • Эта операция завершается ошибкой:
          Get site nameCompleted [Reset Machine SSL Cert...]
          g3node-site
          Lookup all services
          Get service xxxxxx-site:xxxxxxx-d202-4d8f-9282-xxxxxx317b8f
          Update service xxxxxx-site:xxxxxxxx-d202-4d8f-9282-xxxxxx317b8f; spec: /tmp/svcspec_a1hipoqq
          
          Status : 0% Completed [Reset operation failed]
          
          please see /var/log/vmware/vmcad/certificate-manager.log for more information.
          root@xxxxc [ ~ ]#
          Сбой диспетчера сертификатов интерфейса командной строки
      • Исправление проблемы
        STS Скачайте и запустите сценарий из статьи об ошибке VMware «Сертификат подписи недействителен» в VCSA 6.5.x,6.7.x или vCenter Server 7.0.x, 8.0.x. (76719) Эта гиперссылка позволяет перейти на сайт за пределами Dell Technologies.
        Снимок экрана запуска скрипта

        • Остановка служб
          service-control --all --stop
        • Запустите службы (Это не удается, но это ожидаемо)
          service-control --all --start
          Службы остановки и запуска в интерфейсе командной строки
        • Дождитесь истечения времени ожидания процесса или остановите его, когда он достигнет сервиса «vmware-vmon»
          /usr/lib/vmware-vmca/bin/certificate-manager
        • Выберите вариант 6 > «Заменить сертификаты пользователя решения сертификатами VMCA».
        • Confirm
          "Do you wish to generate all certificates using configuration file : Option[Y/N] ?"
        • Ввод учетных данных
        • Отклонить (введите «N») для перенастройки, так как все параметры были настроены выше
          "certool.cfg file exists, Do you wish to reconfigure : Option[Y/N] ?"
        • Confirm
          "You are going to regenerate Solution User Certificates using VMCA, Continue operation : Option[Y/N] ?"
        • Дождитесь завершения процедуры. Следующая процедура:
          • Создает все сертификаты
          • Останавливает работу служб
          • Запускает службы
            Успешное выполнение диспетчера сертификатов интерфейса командной строки.
        • Убедитесь , что все службы запущены
          service-control --all --status
          Проверьте состояние всех служб.
      • Исправление сертификатов в VCSA
        Остановите и запустите все службы. Это НЕОБХОДИМО сделать ПОСЛЕ запуска всех служб PSC!

        • Остановка
          service-control --all --stop
        • Запуск
          service-control --all --start
          Запуск и остановка служб.
        • Дождитесь истечения времени ожидания процесса или остановите его, когда он попадет в службу vmware-vmon
          /usr/lib/vmware-vmca/bin/certificate-manager
        • Выберите вариант 8 > Сбросить все сертификаты
        • Запуск диспетчера сертификатов
        • Confirm
          "Do you wish to generate all certificates using configuration file : Option[Y/N] ?"
        • Ввод учетных данных
          Ввод учетных данных в диспетчере сертификатов интерфейса командной строки
        • Введите IP-адрес PSC
        • Ввести значения
          • Оставьте поле IPAddress пустым
          • Введите имя хоста в качестве полного доменного имени VCSA
          • Поле Имя VMCA — это имя нового создаваемого корневого центра сертификации, например источник сертификатов VxRail.
        • Confirm
          "Continue operation : Option[Y/N] ?"
        • Confirm
          "Continue operation : Option[Y/N] ?"
          Диспетчер сертификатов интерфейса командной строки Введите информацию о среде
        • Подождите, пока не будут созданы все сертификаты и не появится сообщение об успешном завершении
          "Reset status : 100% Completed [Reset completed successfully]"
          Началась замена сертификата
           
          Замена сертификата успешно завершена.
        • Убедитесь, что все службы запущены
          service-control --all --status
          Все службы в состоянии выполнения
        • Доступ к пользовательскому интерфейсу vCenter
        • Доступ по записи системы доменных имен (DNS) не работает в Chrome из-за строгой безопасности транспорта (HSTS) HTTP. Откройте IP-адрес VCSA или используйте другой поддерживаемый браузер, например FireFox.
          Предупреждение о сертификате
          Из-за HSTS требуется доступ по IP

 

Для сценария 2, когда срок действия сертификата vCenter истекает менее чем через 60 дней, выполните приведенную ниже процедуру, чтобы продлить сертификат заранее, чтобы избежать отключения VxRail Manager от vCenter.

  1. Войдите в vCenter по протоколу SSH в качестве пользователя root

  2. Перезапуск служб

    • Остановка бега
      "service-control --stop --all"
    • Запуск запуска
      "service-control --start --all"
  3. Сбросить все сертификаты

    • Выполните:
      "/usr/lib/vmware-vmca/bin/certificate-manager"
    • Выберите вариант 8 > Сбросить все сертификаты
      Сбросить все сертификаты (вариант 8)
    • Введите имя пользователя и пароль vSphere
      Введите имя пользователя и пароль vSphere
    • Введите свойства сертификата
      Диспетчер сертификатов интерфейса командной строки, введите информацию
    • Подтвердите операцию, после чего корневые сертификаты vCenter или сертификаты компьютера будут обновлены
      Подтвердить продление сертификатов
  4. См . статью Dell VxRail. Импорт SSL-сертификата vCenter в VxRail Manager вручную для импорта обновленных сертификатов vCenter и CA в хранилище доверия VxRail Manager.

Additional Information

  • ВСЕГДА создавайте моментальные снимки виртуальных машин системы (PSC, VCSA и VRM) перед продолжением работы с этой статьей.
  • Эта процедура предназначена для виртуальных машин PSC VCSA, которые обслуживаются с помощью VxRail LCM.
ПРИМЕЧАНИЕ. Некоторые продукты сторонних производителей необходимо повторно зарегистрировать или добавить новый корневой CA VMCA, чтобы стать доверенными (для конкретного продукта — см. документацию по продукту). Это связано с нарушением связи из-за изменения корневого сертификата или сертификата VCSA.
  • Если у пользователя есть сертификаты из собственной инфраструктуры, он может заменить их сейчас.
  • После исправления для VxRail версии 4.7.100 и более поздних см. статью базы знаний Dell VxRail. Импорт SSL-сертификата vCenter в VxRail Manager вручную для импорта нового корневого сертификата в VRM (подключаемый модуль не работает).

Affected Products

VxRail Appliance Family, VxRail Appliance Series
Article Properties
Article Number: 000082108
Article Type: Solution
Last Modified: 21 Sept 2024
Version:  9
Find answers to your questions from other Dell users
Support Services
Check if your device is covered by Support Services.