VxRail: Kirjautuminen vCenteriin ei onnistu vanhentuneiden varmenteiden vuoksi

Tilanne 1: vCenter-varmenne on jo vanhentunut. (kaikki VxRail-versiot)

• Kirjautuminen vCenter-käyttöliittymään ei onnistu.
• Kaikki kirjautumisyritykset, kun verkkokäyttöliittymä on käytettävissä, epäonnistuvat edes oikeilla tunnistetiedoilla.
  
• vCenter Server Appliance (VCSA) -palvelujen uudelleenkäynnistys epäonnistuu.
• Palveluiden uudelleenkäynnistys ei tuo esiin kaikkia palveluita.

/var/log/vmware/vpxd-svcs/vpxd-svcs.log:
2020-06-03T09:31:04.523Z [pool-8-thread-1  INFO  com.vmware.identity.token.impl.X509TrustChainKeySelector  opId=905f6864-c067-4db6-828c-1d59c4b43bf8] Failed to find trusted path to signing certificate <CN=ssoserverSign>
sun.security.provider.certpath.SunCertPathBuilderException: unable to find valid certification path to requested target
        at sun.security.provider.certpath.SunCertPathBuilder.build(SunCertPathBuilder.java:141)

Tilanne 2: vCenter-varmenne vanhenee alle 60 päivän kuluttua. (VxRail 7.0.480 ja uudemmat)

• Kirjautuminen vCenter-käyttöliittymään on valmis, mutta VxRail 7.0.480:ssa ja sitä uudemmissa versioissa näkyy varoitus VxRail-klusterissa > Määritä > VxRail-varmenne >>Kaikki luottamussäilön varmenteet -sivulla ilmoitetaan, että varmenne vanhenee alle 60 päivän kuluttua.
  

vCenter-varmenteet ovat vanhentuneet tai vanhenevat pian.
VxRail-versioissa, jotka on alun perin valmistettu ennen versiota 4.7, voi olla sertifikaatit, jotka on myönnetty kahden vuoden ajaksi asennuspäivästä. Tätä artikkelia kirjoitettaessa VxRail-koontiversiossa 4.7.410 on kaikki varmenteet, joiden käyttöikä on 10 vuotta.

Pienet versiopäivitykset eivät koske varmenteita!
VxRailille, joka rakennettiin alun perin versiolle 4.5.210 ja sitä uudemmille versioille, varmenteet ovat voimassa kaksi vuotta. Vahvista yksityiskohtainen kuvaus VMware-artikkelista VMware Security Token Service (STS) Checking Expiration of STS Certificate on vCenter Servers (79248).

Varmista varmenteen vanhentuminen VCSA:n kirjautumissivun selaimessa. Voit myös luetella varmenteet Platform Services Controllerin (PSC) (VCSA) komentoriviliittymässä. Katso VMware-artikkelin komennot Allekirjoitusvarmenne ei kelpaa -virhe VCSA 6.5.x,6.7.x:ssä tai vCenter Server 7.0.x:ssä tai 8.0.x:ssä. (76719)

for i in $(/usr/lib/vmware-vmafd/bin/vecs-cli store list); do echo STORE $i; /usr/lib/vmware-vmafd/bin/vecs-cli entry list --store $i --text | egrep "Alias|Not After"; done

Jos vCenter-varmenne on jo vanhentunut tilanteessa 1, luo uudet itse allekirjoitetut varmenteet PSC:hen ja VCSA:han seuraavien ohjeiden mukaisesti.

1. Korjaa PSC:
   Nollaa kaikki varmenteet (Tämä epäonnistuu, mutta se on odotettavissa.)

   • Käynnistä varmenteiden hallinta:

     /usr/lib/vmware-vmca/bin/certificate-manager

   • Valitse vaihtoehto 8 > : Nollaa kaikki varmenteet
     • Vahvistaa

       "Do you wish to generate all certificates using configuration file : Option[Y/N] ?"

     • Anna tunnistetiedot
       
     • Anna arvot
       • Jätä "IPAddress"- kenttä tyhjäksi
       • Kirjoita isäntänimi PSC:n täydelliseksi toimialuenimeksi (FQDN)
       • VMware Certificate Authority (VMCA) Name -kenttä on uuden luotavan varmenteen myöntäjän nimi, esimerkiksi VxRail CA.
     • Vahvistaa

       "Continue operation : Option[Y/N] ?"

     • Vahvistaa

       "Continue operation : Option[Y/N] ?"

       • Tämä toiminto epäonnistuu, kun

         Get site nameCompleted [Reset Machine SSL Cert...]
         g3node-site
         Lookup all services
         Get service xxxxxx-site:xxxxxxx-d202-4d8f-9282-xxxxxx317b8f
         Update service xxxxxx-site:xxxxxxxx-d202-4d8f-9282-xxxxxx317b8f; spec: /tmp/svcspec_a1hipoqq
         
         Status : 0% Completed [Reset operation failed]
         
         please see /var/log/vmware/vmcad/certificate-manager.log for more information.
         root@xxxxc [ ~ ]#

         

     • Korjaa STS-ongelma
       Lataa ja suorita komentosarja VMware-artikkelin Allekirjoitusvarmenne ei kelpaa -virheestä VCSA 6.5.x,6.7.x- tai vCenter Server 7.0.x -versiossa 8.0.x. (76719)
       

       • Pysäytä palvelut

         service-control --all --stop

       • Käynnistä palvelut (tämä epäonnistuu, mutta se on odotettavissa)

         service-control --all --start

         
       • Odota, että prosessi aikakatkaistaan, tai pysäytä se, kun se pääsee vmware-vmon-palveluun

         /usr/lib/vmware-vmca/bin/certificate-manager

       • Valitse vaihtoehto 6 > : Replace Solution User Certificates with VMCA certificates
       • Vahvistaa

         "Do you wish to generate all certificates using configuration file : Option[Y/N] ?"

       • Anna tunnistetiedot
       • Estä (syötä "N") uudelleenmääritystä varten, koska kaikki vaihtoehdot on määritetty yllä

         "certool.cfg file exists, Do you wish to reconfigure : Option[Y/N] ?"

       • Vahvistaa

         "You are going to regenerate Solution User Certificates using VMCA, Continue operation : Option[Y/N] ?"

       • Odota, kunnes toimenpide suljetaan. Tämä menettely:
         • Luo kaikki varmenteet
         • Pysäyttää palvelut
         • Käynnistää palvelut
           
       • Tarkista , ovatko kaikki palvelut käynnissä

         service-control --all --status

         

     • Korjaa varmenteet VCSA
       :ssa Pysäytä ja käynnistä kaikki palvelut. Tämä TÄYTYY tehdä SEN JÄLKEEN, kun kaikki PSC-palvelut ovat käynnissä!

       • Pysäytys

         service-control --all --stop

       • Käynnistä

         service-control --all --start

         
       • Odota, että prosessi aikakatkaistaan, tai pysäytä se, kun se saapuu vmware-vmon-palveluun

         /usr/lib/vmware-vmca/bin/certificate-manager

       • Valitse vaihtoehto 8 > : Nollaa kaikki varmenteet
       • Käynnistä varmenteiden hallinta
       • Vahvistaa

         "Do you wish to generate all certificates using configuration file : Option[Y/N] ?"

       • Anna tunnistetiedot
         
       • Anna PSC:n IP-osoite
       • Anna arvot
         • Jätä IPAddress-kenttä tyhjäksi
         • Kirjoita isäntänimi VCSA:n toimialuenimeksi
         • VMCA-nimikenttä on luotavan uuden varmenteen myöntäjän nimi, esimerkiksi VxRail CA.
       • Vahvistaa

         "Continue operation : Option[Y/N] ?"

       • Vahvistaa

         "Continue operation : Option[Y/N] ?"

         
       • Odota, kunnes kaikki varmenteet on luotu ja ilmoitus onnistuneesta valmistumisesta tulee näkyviin

         "Reset status : 100% Completed [Reset completed successfully]"

         
          
         
       • Tarkista, että kaikki palvelut ovat käynnissä

         service-control --all --status

         
       • vCenter-käyttöliittymän käyttäminen
       • Access by Domain Name System (DNS) -merkintä epäonnistuu Chromessa HSTS (HTTP Strict Transport Security) -suojauksen vuoksi. Avaa VCSA:n IP-osoite tai käytä toista tuettua selainta, kuten Firefoxia.
         
         

Jos vCenter-varmenne vanhenee alle 60 päivän kuluttua, uusi varmenne etukäteen seuraavien ohjeiden mukaisesti, jotta VxRail Manager ei katkaise yhteyttä vCenteriin.

1. Kirjaudu vCenteriin SSH:n kautta pääkäyttäjänä

2. Käynnistä palvelut uudelleen

   • Suorita pysäytys

     "service-control --stop --all"

   • Suorita aloitus

     "service-control --start --all"

3. Nollaa kaikki varmenteet

   • Suorita:

     "/usr/lib/vmware-vmca/bin/certificate-manager"

   • Valitse vaihtoehto 8 > : Nollaa kaikki varmenteet
     
   • Anna vSphere-käyttäjätunnus ja -salasana
     
   • Syötä varmenteen ominaisuudet
     
   • Vahvista toiminto ja sitten vCenter-pääkäyttäjä tai laite Varmenteet uusitaan
     

4. Lisätietoja on artikkelissa Dell VxRail: VxRail Managerin vCenter SSL -varmenteen manuaalinen tuonti päivitettyjen vCenter- ja CA-varmenteiden tuomiseksi VxRail Managerin luottamussäilöön.

• Ota AINA tilannevedos järjestelmän virtuaalikoneista (PSC, VCSA ja VRM) ennen tämän artikkelin seuraamista.
• Tämä toimenpide on tarkoitettu PSC VCSA-virtuaalikoneille, joita ylläpidetään VxRail LCM:n kautta.

• Jos käyttäjällä on varmenteita omasta infrastruktuuristaan, hän voi korvata ne nyt.
• Kun olet korjannut VxRail-version 4.7.100 ja uudemmat, katso lisätietoja tietämyskannan artikkelista Dell VxRail: VxRail Managerin vCenter SSL -varmenteen manuaalinen tuonti uuden päävarmenteen tuomiseksi VRM:ään (laajennus ei toimi).