Skip to main content
  • Place orders quickly and easily
  • View orders and track your shipping status
  • Enjoy members-only rewards and discounts
  • Create and access a list of your products

VxRail: Det går inte att logga in på vCenter på grund av utgångna certifikat

Summary: VxRail 4.5 och 4.7: Det går inte att logga in på vCenter på grund av utgångna certifikat. Certifikat måste utfärdas på nytt. VxRail 7.0.480 eller senare: En varning visas för certifikatet upphör att gälla om mindre än 60 dagar, vi rekommenderar att du förnyar certifikatet i förväg. ...

This article applies to This article does not apply to This article is not tied to any specific product. Not all product versions are identified in this article.

Symptoms

Scenario 1: vCenter-certifikatet har redan upphört att gälla. (För alla VxRail-versioner)

  • Det går inte att logga in på vCenter-gränssnittet.
  • Alla inloggningsförsök när webbgränssnittet är tillgängligt misslyckas även med korrekta autentiseringsuppgifter.
    VCSA-webbinloggning visar
  • Det går inte att starta om VCSA-tjänsterna (vCenter Server Appliance).
  • Alla tjänster startas inte om när tjänsterna startas om.

 

Observerade fel:
/var/log/vmware/vpxd-svcs/vpxd-svcs.log:
2020-06-03T09:31:04.523Z [pool-8-thread-1  INFO  com.vmware.identity.token.impl.X509TrustChainKeySelector  opId=905f6864-c067-4db6-828c-1d59c4b43bf8] Failed to find trusted path to signing certificate <CN=ssoserverSign>
sun.security.provider.certpath.SunCertPathBuilderException: unable to find valid certification path to requested target
        at sun.security.provider.certpath.SunCertPathBuilder.build(SunCertPathBuilder.java:141)

 

Scenario 2: vCenter-certifikatet upphör att gälla om mindre än 60 dagar. (För VxRail 7.0.480 och senare versioner)

  • Inloggningen till vCenter-gränssnittet har slutförts men i VxRail 7.0.480 och senare versioner visas en varning i VxRail Cluster > Configure > VxRail > Certificate >All Trust Store Certificates som anger att certifikatet upphör att gälla om mindre än 60 dagar.
    Varningen om att certifikatet upphör att gälla i VCSA-gränssnittet

Cause

vCenter-certifikat har upphört att gälla eller upphör snart att gälla.
VxRail-versioner som ursprungligen byggdes före 4.7 kan ha certifikat som utfärdas med en livslängd på två år från installationsdatumet. När den här artikeln skrivs har en VxRail-version på 4.7.410 alla certifikat med en livslängd på 10 år.

Delversionsuppgraderingar berör inte certifikaten!
För en VxRail som ursprungligen byggdes på 4.5.210 och senare versioner har certifikaten en giltighetstid på två år. Läs VMware-artikeln för VMware Security Token Service (STS) som kontrollerar utgångsdatum för STS-certifikat på vCenter-servrar (79248)Den här hyperlänken tar dig till en webbplats utanför Dell Technologies. för att bekräfta den detaljerade beskrivningen.

Använd vyn certifikatet i webbläsaren på inloggningssidan i VCSA för att bekräfta att certifikatet har upphört att gälla. Eller visa en lista över certifikaten i CLI för Platform Services Controller (PSC) (VCSA). Se kommandon från VMware-artikeln Signeringscertifikatet är inte giltigt" i VCSA 6.5.x, 6.7.x eller vCenter Server 7.0.x, 8.0.x. (76719) Den här hyperlänken tar dig till en webbplats utanför Dell Technologies.

for i in $(/usr/lib/vmware-vmafd/bin/vecs-cli store list); do echo STORE $i; /usr/lib/vmware-vmafd/bin/vecs-cli entry list --store $i --text | egrep "Alias|Not After"; done

Resolution

För scenario 1, när vCenter-certifikatet redan har upphört att gälla, följer du proceduren nedan för att generera nya självsignerade certifikat på PSC och VCSA.

Obs! Den här proceduren är avsedd för enskilda PSC- eller VCSA-maskiner som underhålls via VxRail LifeCycle Manager (LCM). Öppna ett VMware-ärende för HA-, ELM- eller kunddistribuerade VCSA:er!
Obs! Ta OFFLINE-snapshots av VxRail Manager (VRM), PSC och VCSA!
Obs! Kontrollera om processen för att skapa ögonblicksbilder har slutförts utan fel! Fortsätt INTE utan giltiga snapshots!
Obs! Om problem uppstår, försök inte igen utan att återgå till snapshots!
  1. Åtgärda PSC:
    Återställ alla certifikat (det går inte, men det förväntas.)

    • Starta certifikathanteraren:
      /usr/lib/vmware-vmca/bin/certificate-manager
    • Välj alternativ 8 > : Återställ alla certifikat
      • Bekräfta
        "Do you wish to generate all certificates using configuration file : Option[Y/N] ?"
      • Ange inloggningsuppgifter
        CLI-certifikathanterarens huvudmeny
      • Ange värden
        • Lämna fältet "IPAddress" tomt
        • Ange värdnamn som fullständigt kvalificerat domännamn (FQDN) för PSC
        • Fältet Namn på VMware Certificate Authority (VMCA) är namnet på en ny rotcertifikatutfärdare som skapas, till exempel VxRail CA.
      • Bekräfta
        "Continue operation : Option[Y/N] ?"
      • Bekräfta
        "Continue operation : Option[Y/N] ?"
        • Den här åtgärden misslyckas med:
          Get site nameCompleted [Reset Machine SSL Cert...]
          g3node-site
          Lookup all services
          Get service xxxxxx-site:xxxxxxx-d202-4d8f-9282-xxxxxx317b8f
          Update service xxxxxx-site:xxxxxxxx-d202-4d8f-9282-xxxxxx317b8f; spec: /tmp/svcspec_a1hipoqq
          
          Status : 0% Completed [Reset operation failed]
          
          please see /var/log/vmware/vmcad/certificate-manager.log for more information.
          root@xxxxc [ ~ ]#
          CLI-certifikathanteraren fungerar inte
      • Åtgärda STS-problemet
        Hämta och kör skriptet från VMware-artikeln Felet "Signeringscertifikatet är inte giltigt" i VCSA 6.5.x, 6.7.x eller vCenter Server 7.0.x, 8.0.x. (76719) Den här hyperlänken tar dig till en webbplats utanför Dell Technologies.
        Skärmbild av körning av skriptet

        • Stoppa tjänster
          service-control --all --stop
        • Starta tjänster (det går inte, men det förväntas)
          service-control --all --start
          Stopp- och starttjänster för CLI
        • Vänta tills processen överskrider tidsgränsen eller stoppa den när den kommer till tjänsten vmware-vmon
          /usr/lib/vmware-vmca/bin/certificate-manager
        • Välj alternativ 6 > "Ersätt lösningsanvändarcertifikat med VMCA-certifikat"
        • Bekräfta
          "Do you wish to generate all certificates using configuration file : Option[Y/N] ?"
        • Ange inloggningsuppgifter
        • Neka (ange "N") för omkonfigurering eftersom alla alternativ konfigurerades ovan
          "certool.cfg file exists, Do you wish to reconfigure : Option[Y/N] ?"
        • Bekräfta
          "You are going to regenerate Solution User Certificates using VMCA, Continue operation : Option[Y/N] ?"
        • Vänta tills proceduren avslutas. Den här proceduren:
          • Genererar alla certifikat
          • Stoppar tjänsterna
          • Startar tjänsterna
            Lyckade problem för CLI-certifikathanteraren.
        • Bekräfta om alla tjänster körs
          service-control --all --status
          Kontrollera status för alla tjänster.
      • Åtgärda certifikat på VCSA
        Stoppa och starta alla tjänster. Detta MÅSTE göras NÄR alla PSC-tjänster är igång!

        • Stopp
          service-control --all --stop
        • Start
          service-control --all --start
          Starta och stoppa tjänster.
        • Vänta tills tidsgränsen för processen överskrids eller stoppa den när den kommer till tjänsten vmware-vmon
          /usr/lib/vmware-vmca/bin/certificate-manager
        • Välj alternativ 8 > : Återställ alla certifikat
        • Starta certifikathanteraren
        • Bekräfta
          "Do you wish to generate all certificates using configuration file : Option[Y/N] ?"
        • Ange inloggningsuppgifter
          Ange inloggningsuppgifter för CLI-certifikathanteraren
        • Ange PSC IP
        • Ange värden
          • Lämna fältet IPAddress tomt
          • Ange värdnamn som FQDN för VCSA
          • Fältet VMCA-namn är namnet på den nya rotcertifikatutfärdaren som skapas, till exempel VxRail-certifikatutfärdaren.
        • Bekräfta
          "Continue operation : Option[Y/N] ?"
        • Bekräfta
          "Continue operation : Option[Y/N] ?"
          CLI-certifikathanterare Ange miljöinformation
        • Vänta tills alla certifikat har genererats och ett meddelande om slutförande visas
          "Reset status : 100% Completed [Reset completed successfully]"
          Byte av certifikat har påbörjats
           
          Bytet av certifikat har slutförts.
        • Kontrollera att alla tjänster körs
          service-control --all --status
          Alla tjänster i körningstillstånd
        • Åtkomst till vCenter-gränssnittet
        • DNS-inmatning (Domain Name System) misslyckas i Chrome på grund av HTTP Strict Transport Security (HSTS). Öppna VCSA-IP-adressen eller använd en annan webbläsare som stöds, till exempel Firefox.
          Certifikatvarning
          På grund av HSTS krävs åtkomst via IP

 

I scenario 2, när vCenter-certifikatet upphör att gälla om mindre än 60 dagar, följer du proceduren nedan för att förnya certifikatet i förväg för att undvika att VxRail Manager kopplas bort från vCenter.

  1. Logga in på vCenter via SSH som rotanvändare

  2. Starta om tjänsterna

    • Kör stopp
      "service-control --stop --all"
    • Kör Start
      "service-control --start --all"
  3. Återställ alla certifikat

    • Kör:
      "/usr/lib/vmware-vmca/bin/certificate-manager"
    • Välj alternativ 8 > : Återställ alla certifikat
      Återställ alla certifikat (alternativ 8)
    • Ange användarnamn och lösenord för vSphere
      Ange vSphere-användare och lösenord
    • Ange certifikategenskaperna
      CLI-certifikathanterare, ange information
    • Bekräfta åtgärden och förnya sedan vCenter-rot- eller maskincertifikaten
      Bekräfta att certifikat förnyas
  4. Följ artikeln Dell VxRail: Så här importerar du vCenter SSL-certifikat manuellt på VxRail Manager för att importera de uppdaterade vCenter- och CA-certifikaten till VxRail Manager-förtroendearkivet.

Additional Information

  • Ta ALLTID ögonblicksbilder av virtuella systemdatorer (PSC, VCSA och VRM) innan du följer den här artikeln.
  • Den här proceduren är avsedd för virtuella PSC VCSA-datorer som underhålls via VxRail LCM.
Obs! Vissa produkter från tredje part måste registreras på nytt eller så måste den nya VMCA-rotcertifikatutfärdaren läggas till för att vara betrodd (produktspecifik – kontrollera produktdokumentationen). Detta eftersom kommunikationen bryts på grund av ändring av rot- eller VCSA-certifikat.

Affected Products

VxRail Appliance Family, VxRail Appliance Series
Article Properties
Article Number: 000082108
Article Type: Solution
Last Modified: 21 Sept 2024
Version:  9
Find answers to your questions from other Dell users
Support Services
Check if your device is covered by Support Services.