VxRail: Não é possível fazer log-in no vCenter devido a certificados expirados

Cenário 1: O certificado do vCenter já expirou. (Para todas as versões do VxRail)

• Não foi possível fazer log-in na interface do usuário do vCenter.
• Qualquer tentativa de log-in quando a IU da Web está disponível falha, mesmo com as credenciais corretas.
  
• Falha na reinicialização dos serviços do vCenter Server Appliance (VCSA).
• A reinicialização dos serviços não ativa todos os serviços.

/var/log/vmware/vpxd-svcs/vpxd-svcs.log:
2020-06-03T09:31:04.523Z [pool-8-thread-1  INFO  com.vmware.identity.token.impl.X509TrustChainKeySelector  opId=905f6864-c067-4db6-828c-1d59c4b43bf8] Failed to find trusted path to signing certificate <CN=ssoserverSign>
sun.security.provider.certpath.SunCertPathBuilderException: unable to find valid certification path to requested target
        at sun.security.provider.certpath.SunCertPathBuilder.build(SunCertPathBuilder.java:141)

Cenário 2: O certificado do vCenter expira em menos de 60 dias. (Para o VxRail 7.0.480 e versões posteriores)

• O login na interface do usuário do vCenter foi concluído, mas o VxRail 7.0.480 e versões posteriores mostram um aviso na página Configure > VxRail >> Certificate >All Trust Store Certificates, informando que o certificado expira em menos de 60 dias.
  

Os certificados do vCenter expiram ou expiram em breve.
As versões do VxRail que foram criadas inicialmente antes da 4.7 podem ter certificados emitidos com uma vida útil de dois anos a partir da data de instalação. No momento em que este artigo foi escrito, uma compilação do VxRail na versão 4.7.410 tem todos os certificados com uma vida útil de 10 anos.

Atualizações secundárias de versão não afetam os certificados!
Para um VxRail que foi inicialmente criado na versão 4.5.210 e versões posteriores, os certificados têm um período de validade de dois anos. Consulte o artigo da VMware para saber se o VMware Security Token Service (STS) está verificando a expiração do certificado STS em vCenter Servers (79248) para confirmar a descrição detalhada.

Use a visualização do certificado no navegador da página de log-in do VCSA para confirmar se o certificado expirou. Ou liste os certificados na CLI do Platform Services Controller (PSC) (VCSA). Consulte os comandos do artigo da VMware "Signing certificate is not valid" error in VCSA 6.5.x,6.7.x or vCenter Server 7.0.x, 8.0.x. (76719)

for i in $(/usr/lib/vmware-vmafd/bin/vecs-cli store list); do echo STORE $i; /usr/lib/vmware-vmafd/bin/vecs-cli entry list --store $i --text | egrep "Alias|Not After"; done

Para o cenário 1, quando o certificado do vCenter já tiver expirado, siga o procedimento abaixo para gerar novos certificados autoassinados no PSC e no VCSA.

1. Corrigir o PSC:
   Redefinir todos os certificados (Isso falha, mas é esperado.)

   • Inicie o Gerenciador de certificados:

     /usr/lib/vmware-vmca/bin/certificate-manager

   • Selecione a opção 8 > Redefinir todos os certificados
     • Confirm

       "Do you wish to generate all certificates using configuration file : Option[Y/N] ?"

     • Insira as credenciais
       
     • Inserir valores
       • Deixe o campo "IPAddress" vazio
       • Digite o nome de host como Fully Qualified Domain Name (FQDN) do PSC
       • O campo Nome da autoridade de certificação VMware (VMCA) é o nome de uma nova CA raiz que está sendo criada, por exemplo, CA VxRail.
     • Confirm

       "Continue operation : Option[Y/N] ?"

     • Confirm

       "Continue operation : Option[Y/N] ?"

       • Falha nessa operação com:

         Get site nameCompleted [Reset Machine SSL Cert...]
         g3node-site
         Lookup all services
         Get service xxxxxx-site:xxxxxxx-d202-4d8f-9282-xxxxxx317b8f
         Update service xxxxxx-site:xxxxxxxx-d202-4d8f-9282-xxxxxx317b8f; spec: /tmp/svcspec_a1hipoqq
         
         Status : 0% Completed [Reset operation failed]
         
         please see /var/log/vmware/vmcad/certificate-manager.log for more information.
         root@xxxxc [ ~ ]#

         

     • Correção do problema
       do STS Faça download e execute o script do artigo da VMware Erro "Certificado de assinatura não é válido" no VCSA 6.5.x, 6.7.x ou vCenter Server 7.0.x, 8.0.x. (76719)
       

       • Interromper serviços

         service-control --all --stop

       • Iniciar serviços (isso falha, mas é esperado)

         service-control --all --start

         
       • Aguarde até que o processo atinja o tempo limite ou o interrompa quando chegar ao serviço "vmware-vmon"

         /usr/lib/vmware-vmca/bin/certificate-manager

       • Selecione a opção 6 > "Substituir certificados de usuário da solução por certificados VMCA"
       • Confirm

         "Do you wish to generate all certificates using configuration file : Option[Y/N] ?"

       • Insira as credenciais
       • Negar (digite "N") para reconfigurar, pois todas as opções foram configuradas acima

         "certool.cfg file exists, Do you wish to reconfigure : Option[Y/N] ?"

       • Confirm

         "You are going to regenerate Solution User Certificates using VMCA, Continue operation : Option[Y/N] ?"

       • Aguarde até que o procedimento seja encerrado. Este procedimento:
         • Gera todos os certificados
         • Interrompe os serviços
         • Inicia os serviços
           
       • Confirme se todos os serviços estão em execução

         service-control --all --status

         

     • Corrigir certificados no VCSA
       Interrompa e inicie todos os serviços. Isso DEVE ser feito DEPOIS que todos os serviços do PSC estiverem em execução!

       • Parar

         service-control --all --stop

       • Iniciar

         service-control --all --start

         
       • Aguarde até que o processo atinja o tempo limite ou o interrompa quando chegar ao serviço vmware-vmon

         /usr/lib/vmware-vmca/bin/certificate-manager

       • Selecione a opção 8 > Redefinir todos os certificados
       • Iniciar o Gerenciador de certificados
       • Confirm

         "Do you wish to generate all certificates using configuration file : Option[Y/N] ?"

       • Insira as credenciais
         
       • Digite PSC IP
       • Inserir valores
         • Deixe o campo IPAddress vazio
         • Digite o nome de host como FQDN do VCSA
         • O campo VMCA Name é o nome da nova CA raiz que está sendo criada, por exemplo, VxRail CA.
       • Confirm

         "Continue operation : Option[Y/N] ?"

       • Confirm

         "Continue operation : Option[Y/N] ?"

         
       • Aguarde até que todos os certificados sejam gerados e uma mensagem de conclusão bem-sucedida seja exibida

         "Reset status : 100% Completed [Reset completed successfully]"

         
          
         
       • Verifique se todos os serviços estão em execução

         service-control --all --status

         
       • Acessar a interface do usuário do vCenter
       • O acesso pela entrada do Sistema de Nomes de Domínio (DNS) falha no Chrome devido à segurança de transporte estrita do HTTP (HSTS). Abra o IP do VCSA ou use outro navegador compatível, como o FireFox.
         
         

Para o cenário 2, quando o certificado do vCenter expirar em menos de 60 dias, siga o procedimento abaixo para renovar o certificado com antecedência, a fim de evitar que o VxRail Manager se desconecte do vCenter.

1. Faça log-in no vCenter via SSH como usuário root

2. Reiniciar serviços

   • Executar Stop

     "service-control --stop --all"

   • Executar Início

     "service-control --start --all"

3. Redefinir todos os certificados

   • Execute:

     "/usr/lib/vmware-vmca/bin/certificate-manager"

   • Selecione a opção 8 > Redefinir todos os certificados
     
   • Insira o nome de usuário e a senha do vSphere
     
   • Insira as propriedades do certificado
     
   • Confirme a operação e, em seguida, os certificados da raiz ou da máquina do vCenter serão renovados
     

4. Siga o artigo Dell VxRail: Como importar manualmente o certificado SSL do vCenter no VxRail Manager para importar os certificados atualizados do vCenter e da CA para o armazenamento confiável do VxRail Manager.

• SEMPRE faça snapshots de VMs do sistema (PSC, VCSA e VRM) antes de seguir este artigo.
• Este procedimento destina-se a VMs do PSC VCSA que são mantidas por meio do LCM do VxRail.

• Se um usuário tiver certificados de sua própria infraestrutura, ele poderá substituí-los agora.
• Após a correção do VxRail versão 4.7.100 e posterior, siga o artigo da base de conhecimento Dell VxRail: Como importar manualmente o certificado SSL do vCenter no VxRail Manager para importar um novo certificado raiz para o VRM (o plug-in não funciona).