Skip to main content
Sign Out

Welcome to Dell

My Account
  • Place orders quickly and easily
  • View orders and track your shipping status
  • Enjoy members-only rewards and discounts
  • Create and access a list of your products
Sign In Create an Account Dell Financial Services Premier Sign In Partner Program Sign In
Contact Us

Your Dell.com Carts

「VxRail:証明書の有効期限が切れているためvCenterにログインできない

Summary: VxRail 4.5および4.7: 証明書の有効期限が切れているため、vCenterにログインできません。証明書を再発行する必要があります。 VxRail 7.0.480以降: 証明書の有効期限が60日以内に切れることに対する警告が表示され、事前に証明書を更新することをお勧めします。

This article applies to   This article does not apply to 
Check out resources for

Symptoms

シナリオ1:vCenter証明書の有効期限が切れています(すべてのVxRailバージョンの場合)。

  • vCenter UIにログインできません。
  • Web UIが使用可能な場合のログイン試行は、正しい認証情報を使用しても失敗します。
    VCSA Webログインでログイン試行後に「ユーザー名とパスワードが必要です」と表示される
  • vCenter Server Appliance (VCSA)サービスの再起動が失敗します。
  • サービスを再起動しても、すべてのサービスが起動するわけではありません。

 

確認されたエラー: 
/var/log/vmware/vpxd-svcs/vpxd-svcs.log:
2020-06-03T09:31:04.523Z [pool-8-thread-1  INFO  com.vmware.identity.token.impl.X509TrustChainKeySelector  opId=905f6864-c067-4db6-828c-1d59c4b43bf8] Failed to find trusted path to signing certificate <CN=ssoserverSign>
sun.security.provider.certpath.SunCertPathBuilderException: unable to find valid certification path to requested target
        at sun.security.provider.certpath.SunCertPathBuilder.build(SunCertPathBuilder.java:141)

 

シナリオ2:vCenter証明書の有効期限が60日以内に切れます。(VxRail 7.0.480以降のバージョンの場合)

  • vCenter UIへのログインは完了しているが、VxRail 7.0.480以降のバージョンでは、VxRail Cluster> Configure > VxRail > Certificate > All Trust Store Certificatesページに、証明書の有効期限が60日未満であることを示す警告が表示されます。
    VCSA UIに証明書の有効期限に関する警告が表示される

Cause

vCenter証明書の有効期限が切れているか、間もなく期限切れになります。
4.7より前に最初に構築されたVxRailバージョンには、インストール日から2年間の有効期間を持つ証明書が発行されている場合があります。この記事の執筆時点では、4.7.410のVxRailビルドには、有効期間が10年の証明書がすべて含まれています

マイナー バージョンのアップグレードでは、証明書には影響しません
4.5.210以降のバージョンで最初に構築されたVxRailの場合、証明書の有効期間は2年間です。詳細な説明を確認するには、VMwareの記事「VMware Security Token Service (STS) Checking Expiration of STS Certificate on vCenter Servers (79248)」このハイパーリンクをクリックすると、デル・テクノロジーズ以外のWebサイトにアクセスします。を参照してください

VCSAのログイン ページのブラウザーで証明書を表示して、証明書の有効期限が切れていることを確認します。または、Platform Services Controller (PSC) (VCSA)のCLIで証明書を一覧表示します。VMwareの記事「VCSA 6.5.x、6.7.xまたはvCenter Server 7.0.x、8.0.xでの「署名証明書が有効ではありません」エラー」のコマンドを参照してください。(76719) このハイパーリンクをクリックすると、デル・テクノロジーズ以外のWebサイトにアクセスします。

for i in $(/usr/lib/vmware-vmafd/bin/vecs-cli store list); do echo STORE $i; /usr/lib/vmware-vmafd/bin/vecs-cli entry list --store $i --text | egrep "Alias|Not After"; done

Resolution

シナリオ1では、vCenter証明書の有効期限がすでに切れている場合は、次の手順に従って、PSCおよびVCSAで新しい自己署名証明書を生成します。

注:この手順は、VxRail LifeCycle Manager (LCM)を介して維持される単一のPSCまたはVCSA VMを対象としています。HA、ELM、またはお客様が導入したVCSAの場合は、VMwareチケットをオープンしてください。
注:VxRail Manager(VRM)、PSC、VCSAの スナップショットをオフライン で作成します。
注:スナップショット作成プロセスがエラーなしで終了したかどうかを確認します。有効なスナップショットがない状態で続行しないでください。
注:問題が発生した場合は、スナップショットに戻さずに再試行しないでください。

  1. PSCの修正:
    すべての証明書をリセットします(これは失敗しますが、これは想定内です)。

    • 証明書マネージャーを起動します。 
      /usr/lib/vmware-vmca/bin/certificate-manager
    • オプション 8 > すべての証明書をリセット を選択します。
      • [Confirm] 
        "Do you wish to generate all certificates using configuration file : Option[Y/N] ?"
      • 資格情報の入力
        CLI証明書マネージャーのメイン メニュー
      • 値の入力
        • [IPAddress] フィールドは空のままにします
        • PSCの完全修飾ドメイン名(FQDN)としてホスト名を入力します
        • VMware認証局(VMCA)名 フィールドは、 作成される新しいルートCAの名前です(例:VxRail CA)。
      • [Confirm] 
        "Continue operation : Option[Y/N] ?"
      • [Confirm] 
        "Continue operation : Option[Y/N] ?"
        • この操作は、次のエラーで失敗します。 
          Get site nameCompleted [Reset Machine SSL Cert...]
g3node-site
Lookup all services
Get service xxxxxx-site:xxxxxxx-d202-4d8f-9282-xxxxxx317b8f
Update service xxxxxx-site:xxxxxxxx-d202-4d8f-9282-xxxxxx317b8f; spec: /tmp/svcspec_a1hipoqq

Status : 0% Completed [Reset operation failed]

please see /var/log/vmware/vmcad/certificate-manager.log for more information.
root@xxxxc [ ~ ]#
          CLI証明書マネージャーが失敗する

      • STSの問題を修正します
        VCSA 6.5.x、6.7.xまたはvCenter Server 7.0.x、8.0.xのVMware記事「署名証明書が有効ではありません」エラーからスクリプトをダウンロードして実行します。(76719) このハイパーリンクをクリックすると、デル・テクノロジーズ以外のWebサイトにアクセスします。
        スクリプト実行のスクリーンショット

        • サービスの停止 
          service-control --all --stop
        • サービスを開始します (これは失敗しますが、想定どおりの動作です) 
          service-control --all --start
          CLIサービスの停止と開始
        • プロセスがタイムアウトするまで待つか、「vmware-vmon」 サービスになったら停止します 
          /usr/lib/vmware-vmca/bin/certificate-manager
        • オプション6>[ソリューション ユーザー証明書をVMCA証明書に置き換える]を選択します。
        • [Confirm] 
          "Do you wish to generate all certificates using configuration file : Option[Y/N] ?"
        • 資格情報の入力
        • 拒否(「N」と入力)は、上記ですべてのオプションが構成されているため、再構成します 
          "certool.cfg file exists, Do you wish to reconfigure : Option[Y/N] ?"
        • [Confirm] 
          "You are going to regenerate Solution User Certificates using VMCA, Continue operation : Option[Y/N] ?"
        • プロシージャーが終了するまで待ちます。この手順では、次のことを行います。
          • すべての証明書を生成します
          • サービスを停止します
          • サービスを開始します
            CLI証明書マネージャーが成功しました。
        • すべてのサービスが実行されているかどうかを確認します 
          service-control --all --status
          すべてのサービスのステータスを確認します。

      • VCSAの証明書を修正します
        すべてのサービスを停止して開始します。これは、すべてのPSCサービスが実行された後に実行する必要があります

        • Stop(停止) 
          service-control --all --stop
        • Start 
          service-control --all --start
          サービスを開始および停止します。
        • プロセスがタイムアウトするまで待つか、 vmware-vmon サービスに到達したら停止します 
          /usr/lib/vmware-vmca/bin/certificate-manager
        • オプション 8 > すべての証明書をリセット を選択します。
        • Certificate Managerの起動
        • [Confirm] 
          "Do you wish to generate all certificates using configuration file : Option[Y/N] ?"
        • 資格情報の入力
          CLI証明書マネージャーの認証情報の入力
        • PSC IPの入力
        • 値の入力
          • [IPAddress]フィールドは空のままにします
          • VCSAのFQDNとしてホスト名を入力します
          • VMCA名 フィールドは、 作成される新しいルートCAの名前です(例:VxRail CA)。
        • [Confirm] 
          "Continue operation : Option[Y/N] ?"
        • [Confirm] 
          "Continue operation : Option[Y/N] ?"
          CLI certificate manager 環境情報の入力
        • すべての証明書が生成され、正常に完了したことを示すメッセージが表示されるまで待ちます 
          "Reset status : 100% Completed [Reset completed successfully]"
          証明書の置き換えが開始されました
           
          証明書の交換が正常に完了しました。
        • すべてのサービスが実行されていることを確認する 
          service-control --all --status
          実行中の状態のすべてのサービス
        • vCenter UIへのアクセス
        • HTTP Strict Transport Security(HSTS)が原因で、Chromeでドメイン ネーム システム(DNS)エントリーによるアクセスが失敗します。VCSA IPを開くか、FireFoxなどの別のサポートされているブラウザーを使用します。
          証明書の警告
          IP経由のHSTSアクセスが必要なため

 

シナリオ2では、vCenter証明書の有効期限が60日以内に切れる場合は、VxRail ManagerがvCenterから切断されるのを回避するために、次の手順に従って事前に証明書を更新します。

  1. rootユーザーとしてSSH経由でvCenterにログインします。

  2. サービスの再起動

    • 実行 停止 
      "service-control --stop --all"
    • ファイル名を指定して実行 開始 
      "service-control --start --all"

  3. すべての証明書をリセット

    • 次を実行: 
      "/usr/lib/vmware-vmca/bin/certificate-manager"
    • オプション 8 > すべての証明書をリセット を選択します。
      すべての証明書をリセットする(オプション8)
    • vSphereのユーザー名とパスワードを入力します
      vSphereユーザーとパスワードを入力します
    • 証明書のプロパティを入力します
      CLI証明書マネージャー、情報の入力
    • 操作を確認すると、vCenterのrootまたはマシンの証明書が更新されます
      証明書が更新されたことを確認する

  4. 記事「 Dell VxRail: 更新されたvCenter証明書とCA証明書をVxRail Managerトラスト ストアにインポートするために、VxRail ManagerでvCenter SSL証明書を手動でインポートする方法

Additional Information

  • この記事に従う前に、必ずシステムVM(PSC、VCSA、VRM)のスナップショットを作成してください。
  • この手順は、VxRail LCMを通じて維持されるPSC VCSA VMを対象としています。
メモ: 一部のサード パーティー製品を再登録するか、新しいVMCAルートCAを信頼済みとして追加する必要があります(製品固有 - 製品ドキュメントを確認してください)。これは、ルート証明書またはVCSA証明書の変更により通信が切断されるためです。

Affected Products

VxRail Appliance Family, VxRail Appliance Series
Article Properties
Article Number: 000082108
Article Type: Solution
Last Modified: 21 Sept 2024
Version:  9
Find answers to your questions from other Dell users
Support Services
Check if your device is covered by Support Services.