VxRail: Süresi dolan sertifikalar nedeniyle vCenter'da oturum açılamıyor

1. Senaryo: vCenter sertifikasının süresi zaten doldu. (Tüm VxRail sürümleri için)

• vCenter kullanıcı arayüzünde oturum açılamıyor.
• Web kullanıcı arayüzü kullanılabilir durumdayken yapılan herhangi bir oturum açma girişimi, doğru kimlik bilgileriyle bile başarısız olur.
  
• vCenter Server Appliance (VCSA) hizmetlerinin yeniden başlatılması başarısız oluyor.
• Hizmetlerin yeniden başlatılması tüm hizmetleri getirmez.

/var/log/vmware/vpxd-svcs/vpxd-svcs.log:
2020-06-03T09:31:04.523Z [pool-8-thread-1  INFO  com.vmware.identity.token.impl.X509TrustChainKeySelector  opId=905f6864-c067-4db6-828c-1d59c4b43bf8] Failed to find trusted path to signing certificate <CN=ssoserverSign>
sun.security.provider.certpath.SunCertPathBuilderException: unable to find valid certification path to requested target
        at sun.security.provider.certpath.SunCertPathBuilder.build(SunCertPathBuilder.java:141)

2. Senaryo: vCenter sertifikasının süresi 60 günden kısa bir süre içinde dolar. (VxRail 7.0.480 ve üzeri sürümler için)

• vCenter kullanıcı arayüzünde oturum açma işlemi tamamlandı ancak VxRail 7.0.480 ve sonraki sürümler, VxRail Cluster > VxRail >> Certificate All >Trust Store Certificates sayfasında sertifikanın süresinin 60 günden kısa bir süre içinde dolacağını belirten bir uyarı gösteriyor.
  

vCenter sertifikalarının süresi doldu veya yakında dolacak.
Başlangıçta 4.7'den önce üretilen VxRail sürümleri, kurulum tarihinden itibaren iki yıllık kullanım ömrüne sahip sertifikalara sahip olabilir. Bu makalenin yazıldığı sırada, 4.7.410 üzerine kurulu bir VxRail, 10 yıllık kullanım ömrüne sahip tüm sertifikalara sahiptir.

İkincil sürüm yükseltmeleri sertifikalara dokunmaz!
Başlangıçta 4.5.210 ve sonraki sürümlerinde oluşturulan VxRail için sertifikaların iki yıllık bir geçerlilik süresi vardır. Ayrıntılı açıklamayı onaylamak üzere VMware Security Token Service (STS) ile ilgili vCenter Sunucularında STS Sertifikasının Süresinin Dolduğunu Kontrol Etme (79248) başlıklı VMware makalesine bakın.

Sertifikanın süresinin dolduğunu onaylamak için VCSA'nın oturum açma sayfasındaki tarayıcıda sertifikayı görüntüle seçeneğini kullanın. Alternatif olarak, Platform Services Controller'ın (PSC) (VCSA) CLI sindeki sertifikaları listeleyebilirsiniz. VCSA 6.5.x, 6.7.x veya vCenter Server 7.0.x, 8.0.x'te "İmzalama sertifikası geçerli değil" hatası VMware makalesindeki komutlara bakın. (76719)

for i in $(/usr/lib/vmware-vmafd/bin/vecs-cli store list); do echo STORE $i; /usr/lib/vmware-vmafd/bin/vecs-cli entry list --store $i --text | egrep "Alias|Not After"; done

1. Senaryoda, vCenter sertifikasının süresi dolmuşsa PSC ve VCSA'da kendinden imzalı yeni sertifikalar oluşturmak için aşağıdaki prosedürü izleyin.

1. PSC'yi Düzeltin:
   Tüm Sertifikaları Sıfırla (Bu işlem başarısız olur ancak bu beklenen bir işlemdir.)

   • Sertifika Yöneticisini başlatın:

     /usr/lib/vmware-vmca/bin/certificate-manager

   • 8. Seçeneği belirleyin: Tüm sertifikaları sıfırla >
     • Confirm (Onayla)

       "Do you wish to generate all certificates using configuration file : Option[Y/N] ?"

     • Kimlik Bilgilerini Girme
       
     • Değerleri girin
       • IPAddress" alanını boş bırakın
       • Ana bilgisayar adını PSC'nin Tam Nitelikli Etki Alanı Adı (FQDN) olarak girin
       • VMware Sertifika Yetkilisi (VMCA) Name alanı, oluşturulmakta olan yeni bir kök CA'nın adıdır, örneğin, VxRail CA'sı.
     • Confirm (Onayla)

       "Continue operation : Option[Y/N] ?"

     • Confirm (Onayla)

       "Continue operation : Option[Y/N] ?"

       • Bu işlem aşağıdakilerle başarısız olur:

         Get site nameCompleted [Reset Machine SSL Cert...]
         g3node-site
         Lookup all services
         Get service xxxxxx-site:xxxxxxx-d202-4d8f-9282-xxxxxx317b8f
         Update service xxxxxx-site:xxxxxxxx-d202-4d8f-9282-xxxxxx317b8f; spec: /tmp/svcspec_a1hipoqq
         
         Status : 0% Completed [Reset operation failed]
         
         please see /var/log/vmware/vmcad/certificate-manager.log for more information.
         root@xxxxc [ ~ ]#

         

     • STS sorununu
       düzeltme VCSA 6.5.x, 6.7.x veya vCenter Server 7.0.x, 8.0.x'te "İmzalama sertifikası geçerli değil" hatası başlıklı VMware makalesinden komut dosyasını indirin ve çalıştırın. (76719)
       

       • Hizmetleri Durdurma

         service-control --all --stop

       • Hizmetleri Başlatma (Bu işlem başarısız olur ancak beklenen bir işlemdir)

         service-control --all --start

         
       • İşlemin zaman aşımına uğramasını veya "vmware-vmon" hizmetine geldiğinde durdurulmasını bekleyin

         /usr/lib/vmware-vmca/bin/certificate-manager

       • 6 > . Seçeneği belirleyin "Çözüm kullanıcı sertifikalarını VMCA sertifikalarıyla değiştirme"
       • Confirm (Onayla)

         "Do you wish to generate all certificates using configuration file : Option[Y/N] ?"

       • Kimlik Bilgilerini Girme
       • Tüm seçenekler yukarıda yapılandırıldığından yeniden yapılandırma için reddedin ("N" girin)

         "certool.cfg file exists, Do you wish to reconfigure : Option[Y/N] ?"

       • Confirm (Onayla)

         "You are going to regenerate Solution User Certificates using VMCA, Continue operation : Option[Y/N] ?"

       • Prosedürden çıkılana kadar bekleyin. Bu prosedür:
         • Tüm sertifikaları oluşturur
         • Hizmetleri durdurur
         • Hizmetleri başlatır
           
       • Tüm Hizmetlerin çalışıp çalışmadığını onaylayın

         service-control --all --status

         

     • VCSA'da
       Sertifikaları Düzeltin Tüm hizmetleri durdurun ve başlatın. Bu, tüm PSC hizmetleri çalıştıktan SONRA yapılmalıdır!

       • Durdur

         service-control --all --stop

       • Başlat

         service-control --all --start

         
       • İşlemin zaman aşımına uğramasını veya vmware-vmon hizmetine geldiğinde durdurulmasını bekleyin

         /usr/lib/vmware-vmca/bin/certificate-manager

       • 8. Seçeneği belirleyin: Tüm sertifikaları sıfırla >
       • Sertifika Yöneticisini Başlat
       • Confirm (Onayla)

         "Do you wish to generate all certificates using configuration file : Option[Y/N] ?"

       • Kimlik Bilgilerini Girme
         
       • PSC IP'sini girin
       • Değerleri girin
         • IPAddress alanını boş bırakın
         • Ana bilgisayar adını VCSA'nın FQDN'si olarak girin
         • VMCA Name alanı, oluşturulmakta olan yeni kök CA'nın adıdır, örneğin, VxRail CA.
       • Confirm (Onayla)

         "Continue operation : Option[Y/N] ?"

       • Confirm (Onayla)

         "Continue operation : Option[Y/N] ?"

         
       • Tüm sertifikalar oluşturulana ve işlemin başarıyla tamamlandığını belirten bir mesaj gösterilene kadar bekleyin

         "Reset status : 100% Completed [Reset completed successfully]"

         
          
         
       • Tüm hizmetlerin çalışıp çalışmadığını kontrol edin

         service-control --all --status

         
       • vCenter kullanıcı arayüzüne erişme
       • Alan Adı Sistemine (DNS) göre erişim, HTTP Sıkı Aktarım Güvenliği (HSTS) nedeniyle Chrome'da başarısız oluyor. VCSA IP'sini açın veya FireFox gibi desteklenen başka bir tarayıcı kullanın.
         
         

2. Senaryoda, vCenter sertifikasının süresi 60 günden az bir süre içinde dolduğunda VxRail yöneticisinin vCenter ile bağlantısını kesmek için aşağıdaki prosedürü izleyerek sertifikayı önceden yenileyebilirsiniz.

1. Kök kullanıcı olarak SSH üzerinden vCenter'da oturum açın

2. Hizmetleri Yeniden Başlatma

   • Run Stop

     "service-control --stop --all"

   • Çalıştır Başlat

     "service-control --start --all"

3. Tüm Sertifikaları Sıfırla

   • Şu komutu çalıştırın:

     "/usr/lib/vmware-vmca/bin/certificate-manager"

   • 8. Seçeneği belirleyin: Tüm sertifikaları sıfırla >
     
   • vSphere kullanıcı adı ve parolasını girin
     
   • Sertifika özelliklerini girin
     
   • İşlemi onaylayın , ardından vCenter kök veya makine Sertifikaları yenilenir
     

4. Dell VxRail: Güncelleştirilmiş vCenter ve CA sertifikalarını VxRail Manager güven deposuna aktarmak için VxRail Manager'da manuel olarak vCenter SSL sertifikasını içe aktarma .

• Bu makaleyi izlemeden önce DAİMA Sistem Sanal Makinelerinin (PSC, VCSA ve VRM) anlık görüntülerini alın.
• Bu prosedür, VxRail LCM aracılığıyla bakımı yapılan PSC VCSA VM'leri için tasarlanmıştır.

• Bir kullanıcının kendi altyapısından sertifikaları varsa bunları şimdi değiştirebilir.
• VxRail sürüm 4.7.100 ve üzeri için düzeltmeden sonra Dell VxRail: VRM'ye yeni bir kök sertifika almak için VxRail Manager'da vCenter SSL sertifikasını manuel olarak içe aktarma (eklenti çalışmıyor).