VxRail: Kan ikke logge på vCenter på grunn av utløpte sertifikater

Scenario 1: vCenter-sertifikatet er allerede utløpt. (For alle VxRail-versjoner)

• Kan ikke logge på vCenter-brukergrensesnittet.
• Alle påloggingsforsøk når webgrensesnittet er tilgjengelig, mislykkes selv med riktig legitimasjon.
  
• Omstart av vCenter Server Appliance-tjenester (VCSA) mislykkes.
• Når tjenestene startes på nytt, hentes ikke alle tjenestene.

/var/log/vmware/vpxd-svcs/vpxd-svcs.log:
2020-06-03T09:31:04.523Z [pool-8-thread-1  INFO  com.vmware.identity.token.impl.X509TrustChainKeySelector  opId=905f6864-c067-4db6-828c-1d59c4b43bf8] Failed to find trusted path to signing certificate <CN=ssoserverSign>
sun.security.provider.certpath.SunCertPathBuilderException: unable to find valid certification path to requested target
        at sun.security.provider.certpath.SunCertPathBuilder.build(SunCertPathBuilder.java:141)

Scenario 2: vCenter-sertifikatet utløper om mindre enn 60 dager. (For VxRail 7.0.480 og nyere versjoner)

• Logg på vCenter-brukergrensesnittet er fullført, men VxRail 7.0.480 og nyere versjoner viser en advarsel i VxRail-klynge > Konfigurer > VxRail-sertifikat >>Alle Trust Store-sertifikater-siden som sier at sertifikatet utløper om mindre enn 60 dager.
  

vCenter-sertifikater er utløpt eller utløper snart.
VxRail-versjoner som opprinnelig ble bygget før 4.7, kan ha sertifikater utstedt med en levetid på to år fra installasjonsdatoen. I skrivende stund har en VxRail-build på 4.7.410 alle sertifikater med 10 års levetid.

Mindre versjonsoppgraderinger berører ikke sertifikatene!
For VxRail som opprinnelig ble bygget på 4.5.210 og senere versjoner, har sertifikatene en gyldighetsperiode på to år. Se VMware-artikkelen for VMware Security Token Service (STS) Checking Expiration of STS Certificate on vCenter Servers (79248) for å bekrefte den detaljerte beskrivelsen.

Bruk visningen av sertifikatet i nettleseren på påloggingssiden for VCSA for å bekrefte at sertifikatet er utløpt. Du kan også føre opp sertifikatene i CLI for Platform Services Controller (PSC) (VCSA). Se kommandoer fra VMware-artikkelen Signeringssertifikatet er ikke gyldig" feil i VCSA 6.5.x,6.7.x eller vCenter Server 7.0.x, 8.0.x. (76719)

for i in $(/usr/lib/vmware-vmafd/bin/vecs-cli store list); do echo STORE $i; /usr/lib/vmware-vmafd/bin/vecs-cli entry list --store $i --text | egrep "Alias|Not After"; done

For scenario 1, når vCenter-sertifikatet allerede er utløpt, følger du fremgangsmåten nedenfor for å generere nye selvsignerte sertifikater på PSC og VCSA.

1. Reparer PSC:
   Tilbakestill alle sertifikater (Dette mislykkes, men det er forventet.)

   • Start sertifikatbehandling:

     /usr/lib/vmware-vmca/bin/certificate-manager

   • Velg alternativ 8 > Tilbakestill alle sertifikater
     • Bekrefte

       "Do you wish to generate all certificates using configuration file : Option[Y/N] ?"

     • Enter Credentials
       
     • Skriv inn verdier
       • La "IP-adresse"- feltet stå tomt
       • Skriv inn vertsnavnet som fullstendig kvalifisert domenenavn (FQDN) for PSC
       • Navnefeltet VMware Certificate Authority (VMCA) er navnet på en ny rotsertifiseringsinstans som opprettes, for eksempel VxRail CA.
     • Bekrefte

       "Continue operation : Option[Y/N] ?"

     • Bekrefte

       "Continue operation : Option[Y/N] ?"

       • Denne operasjonen mislykkes med:

         Get site nameCompleted [Reset Machine SSL Cert...]
         g3node-site
         Lookup all services
         Get service xxxxxx-site:xxxxxxx-d202-4d8f-9282-xxxxxx317b8f
         Update service xxxxxx-site:xxxxxxxx-d202-4d8f-9282-xxxxxx317b8f; spec: /tmp/svcspec_a1hipoqq
         
         Status : 0% Completed [Reset operation failed]
         
         please see /var/log/vmware/vmcad/certificate-manager.log for more information.
         root@xxxxc [ ~ ]#

         

     • Løs STS-problemet
       Last ned og kjør skriptet fra VMware-artikkelen Signeringssertifikatet er ikke gyldig feil i VCSA 6.5.x, 6.7.x eller vCenter Server 7.0.x, 8.0.x. (76719)
       

       • Stopp tjenester

         service-control --all --stop

       • Start tjenester (Dette mislykkes, men det er forventet)

         service-control --all --start

         
       • Vent til prosessen blir tidsavbrutt, eller stopp den når den kommer til "vmware-vmon"- tjenesten

         /usr/lib/vmware-vmca/bin/certificate-manager

       • Velg alternativ 6 > "Erstatt løsningsbrukersertifikater med VMCA-sertifikater"
       • Bekrefte

         "Do you wish to generate all certificates using configuration file : Option[Y/N] ?"

       • Enter Credentials
       • Avslå (angi "N") for å konfigurere på nytt, da alle alternativene er konfigurert ovenfor

         "certool.cfg file exists, Do you wish to reconfigure : Option[Y/N] ?"

       • Bekrefte

         "You are going to regenerate Solution User Certificates using VMCA, Continue operation : Option[Y/N] ?"

       • Vent til prosedyren avsluttes. Denne fremgangsmåten:
         • Genererer alle sertifikater
         • Stopper tjenestene
         • Starter tjenestene
           
       • Bekreft om alle tjenester kjører

         service-control --all --status

         

     • Reparer sertifikater på VCSA
       Stopp og start alle tjenester. Dette MÅ gjøres ETTER at alle PSC-tjenester kjører!

       • Stopp

         service-control --all --stop

       • Start

         service-control --all --start

         
       • Vent til prosessen blir tidsavbrutt, eller stopp den når den kommer til vmware-vmon-tjenesten

         /usr/lib/vmware-vmca/bin/certificate-manager

       • Velg alternativ 8 > Tilbakestill alle sertifikater
       • Start sertifikatbehandling
       • Bekrefte

         "Do you wish to generate all certificates using configuration file : Option[Y/N] ?"

       • Enter Credentials
         
       • Skriv inn PSC-IP
       • Skriv inn verdier
         • La IP-adressefeltet stå tomt
         • Skriv inn vertsnavn som FQDN for VCSA
         • VMCA-navn-feltet er navnet på den nye rotsertifiseringsinstansen som opprettes, for eksempel VxRail CA.
       • Bekrefte

         "Continue operation : Option[Y/N] ?"

       • Bekrefte

         "Continue operation : Option[Y/N] ?"

         
       • Vent til alle sertifikatene er generert og en melding om vellykket fullføring vises

         "Reset status : 100% Completed [Reset completed successfully]"

         
          
         
       • Kontroller at alle tjenester kjører

         service-control --all --status

         
       • Få tilgang til vCenter-brukergrensesnittet
       • Tilgang etter DNS-oppføring (Domain Name System) mislykkes i Chrome på grunn av HTTP Strict Transport Security (HSTS). Åpne VCSA IP eller bruk en annen støttet nettleser, for eksempel Firefox.
         
         

For scenario 2, når vCenter-sertifikatet utløper om mindre enn 60 dager, følger du fremgangsmåten nedenfor for å fornye sertifikatet på forhånd for å unngå at VxRail Manager kobles fra vCenter.

1. Logg på vCenter over SSH som rotbruker

2. Start tjenester på nytt

   • Kjør stopp

     "service-control --stop --all"

   • Kjør Start

     "service-control --start --all"

3. Tilbakestill alle sertifikater

   • Kjør:

     "/usr/lib/vmware-vmca/bin/certificate-manager"

   • Velg alternativ 8 > Tilbakestill alle sertifikater
     
   • Skriv inn vSphere-brukernavn og -passord
     
   • Skriv inn sertifikategenskapene
     
   • Bekreft operasjonen og forny deretter vCenter-roten eller -maskinen Sertifikatene er fornyet
     

4. Følg artikkelen Dell VxRail: Slik importerer du vCenter SSL-sertifikater manuelt på VxRail Manager for å importere de oppdaterte vCenter- og CA-sertifikatene til VxRail Manager-klareringslageret.

• Ta ALLTID øyeblikksbilder av virtuelle systemmaskiner (PSC, VCSA og VRM) før du følger denne artikkelen.
• Denne fremgangsmåten er beregnet for virtuelle PSC VCSA-maskiner som vedlikeholdes via VxRail LCM.

• Hvis en bruker har sertifikater fra sin egen infrastruktur, kan de erstatte dem nå.
• Når du har fikset for VxRail-versjon 4.7.100 og nyere, følger du KB-artikkelen Dell VxRail: Slik importerer du vCenter SSL-sertifikat manuelt på VxRail Manager for å importere et nytt rotsertifikat til VRM (plugin fungerer ikke).