Skip to main content
  • Place orders quickly and easily
  • View orders and track your shipping status
  • Enjoy members-only rewards and discounts
  • Create and access a list of your products

VxRail: Não é possível fazer log-in no vCenter devido a certificados expirados

Summary: VxRail 4.5 e 4.7: Não é possível fazer log-in no vCenter devido a certificados expirados. Os certificados devem ser reemitidos. VxRail 7.0.480 ou posterior: Um aviso mostra que o certificado expira em menos de 60 dias. Recomende a renovação antecipada do certificado. ...

This article applies to This article does not apply to This article is not tied to any specific product. Not all product versions are identified in this article.

Symptoms

Cenário 1: O certificado do vCenter já expirou. (Para todas as versões do VxRail)

  • Não foi possível fazer log-in na interface do usuário do vCenter.
  • Qualquer tentativa de log-in quando a IU da Web está disponível falha, mesmo com as credenciais corretas.
    O VCSA Web Login mostra
  • Falha na reinicialização dos serviços do vCenter Server Appliance (VCSA).
  • A reinicialização dos serviços não ativa todos os serviços.

 

Erros observados:
/var/log/vmware/vpxd-svcs/vpxd-svcs.log:
2020-06-03T09:31:04.523Z [pool-8-thread-1  INFO  com.vmware.identity.token.impl.X509TrustChainKeySelector  opId=905f6864-c067-4db6-828c-1d59c4b43bf8] Failed to find trusted path to signing certificate <CN=ssoserverSign>
sun.security.provider.certpath.SunCertPathBuilderException: unable to find valid certification path to requested target
        at sun.security.provider.certpath.SunCertPathBuilder.build(SunCertPathBuilder.java:141)

 

Cenário 2: O certificado do vCenter expira em menos de 60 dias. (Para o VxRail 7.0.480 e versões posteriores)

  • O login na interface do usuário do vCenter foi concluído, mas o VxRail 7.0.480 e versões posteriores mostram um aviso na página Configure > VxRail >> Certificate >All Trust Store Certificates, informando que o certificado expira em menos de 60 dias.
    O certificado expirará com aviso na interface do usuário do VCSA

Cause

Os certificados do vCenter expiram ou expiram em breve.
As versões do VxRail que foram criadas inicialmente antes da 4.7 podem ter certificados emitidos com uma vida útil de dois anos a partir da data de instalação. No momento em que este artigo foi escrito, uma compilação do VxRail na versão 4.7.410 tem todos os certificados com uma vida útil de 10 anos.

Atualizações secundárias de versão não afetam os certificados!
Para um VxRail que foi inicialmente criado na versão 4.5.210 e versões posteriores, os certificados têm um período de validade de dois anos. Consulte o artigo da VMware para saber se o VMware Security Token Service (STS) está verificando a expiração do certificado STS em vCenter Servers (79248)Esse hiperlink direcionará você para um site fora da Dell Technologies. para confirmar a descrição detalhada.

Use a visualização do certificado no navegador da página de log-in do VCSA para confirmar se o certificado expirou. Ou liste os certificados na CLI do Platform Services Controller (PSC) (VCSA). Consulte os comandos do artigo da VMware "Signing certificate is not valid" error in VCSA 6.5.x,6.7.x or vCenter Server 7.0.x, 8.0.x. (76719) Esse hiperlink direcionará você para um site fora da Dell Technologies.

for i in $(/usr/lib/vmware-vmafd/bin/vecs-cli store list); do echo STORE $i; /usr/lib/vmware-vmafd/bin/vecs-cli entry list --store $i --text | egrep "Alias|Not After"; done

Resolution

Para o cenário 1, quando o certificado do vCenter já tiver expirado, siga o procedimento abaixo para gerar novos certificados autoassinados no PSC e no VCSA.

Nota: Este procedimento destina-se a VMs de PSC ou VCSA únicas que são mantidas por meio do VxRail LifeCycle Manager (LCM). Para HA, ELM ou VCSAs implementados pelo cliente, abra um tíquete da VMware!
Nota: Faça snapshots off-line do VxRail Manager (VRM), do PSC e do VCSA!
Nota: Verifique se o processo de criação de snapshots foi concluído sem erros! NÃO continue sem snapshots válidos!
Nota: Se forem encontrados problemas, não repita sem reverter para snapshots!
  1. Corrigir o PSC:
    Redefinir todos os certificados (Isso falha, mas é esperado.)

    • Inicie o Gerenciador de certificados:
      /usr/lib/vmware-vmca/bin/certificate-manager
    • Selecione a opção 8 > Redefinir todos os certificados
      • Confirm
        "Do you wish to generate all certificates using configuration file : Option[Y/N] ?"
      • Insira as credenciais
        Menu principal do gerenciador de certificados da CLI
      • Inserir valores
        • Deixe o campo "IPAddress" vazio
        • Digite o nome de host como Fully Qualified Domain Name (FQDN) do PSC
        • O campo Nome da autoridade de certificação VMware (VMCA) é o nome de uma nova CA raiz que está sendo criada, por exemplo, CA VxRail.
      • Confirm
        "Continue operation : Option[Y/N] ?"
      • Confirm
        "Continue operation : Option[Y/N] ?"
        • Falha nessa operação com:
          Get site nameCompleted [Reset Machine SSL Cert...]
          g3node-site
          Lookup all services
          Get service xxxxxx-site:xxxxxxx-d202-4d8f-9282-xxxxxx317b8f
          Update service xxxxxx-site:xxxxxxxx-d202-4d8f-9282-xxxxxx317b8f; spec: /tmp/svcspec_a1hipoqq
          
          Status : 0% Completed [Reset operation failed]
          
          please see /var/log/vmware/vmcad/certificate-manager.log for more information.
          root@xxxxc [ ~ ]#
          Falha no gerenciador de certificados da CLI
      • Correção do problema
        do STS Faça download e execute o script do artigo da VMware Erro "Certificado de assinatura não é válido" no VCSA 6.5.x, 6.7.x ou vCenter Server 7.0.x, 8.0.x. (76719) Esse hiperlink direcionará você para um site fora da Dell Technologies.
        Captura de tela da execução do script

        • Interromper serviços
          service-control --all --stop
        • Iniciar serviços (isso falha, mas é esperado)
          service-control --all --start
          Serviços para parar e iniciar a CLI
        • Aguarde até que o processo atinja o tempo limite ou o interrompa quando chegar ao serviço "vmware-vmon"
          /usr/lib/vmware-vmca/bin/certificate-manager
        • Selecione a opção 6 > "Substituir certificados de usuário da solução por certificados VMCA"
        • Confirm
          "Do you wish to generate all certificates using configuration file : Option[Y/N] ?"
        • Insira as credenciais
        • Negar (digite "N") para reconfigurar, pois todas as opções foram configuradas acima
          "certool.cfg file exists, Do you wish to reconfigure : Option[Y/N] ?"
        • Confirm
          "You are going to regenerate Solution User Certificates using VMCA, Continue operation : Option[Y/N] ?"
        • Aguarde até que o procedimento seja encerrado. Este procedimento:
          • Gera todos os certificados
          • Interrompe os serviços
          • Inicia os serviços
            Sucesso do gerenciador de certificados da CLI.
        • Confirme se todos os serviços estão em execução
          service-control --all --status
          Verifique o status de todos os serviços.
      • Corrigir certificados no VCSA
        Interrompa e inicie todos os serviços. Isso DEVE ser feito DEPOIS que todos os serviços do PSC estiverem em execução!

        • Parar
          service-control --all --stop
        • Iniciar
          service-control --all --start
          Inicie e pare serviços.
        • Aguarde até que o processo atinja o tempo limite ou o interrompa quando chegar ao serviço vmware-vmon
          /usr/lib/vmware-vmca/bin/certificate-manager
        • Selecione a opção 8 > Redefinir todos os certificados
        • Iniciar o Gerenciador de certificados
        • Confirm
          "Do you wish to generate all certificates using configuration file : Option[Y/N] ?"
        • Insira as credenciais
          O gerenciador de certificados da CLI digita as credenciais
        • Digite PSC IP
        • Inserir valores
          • Deixe o campo IPAddress vazio
          • Digite o nome de host como FQDN do VCSA
          • O campo VMCA Name é o nome da nova CA raiz que está sendo criada, por exemplo, VxRail CA.
        • Confirm
          "Continue operation : Option[Y/N] ?"
        • Confirm
          "Continue operation : Option[Y/N] ?"
          O gerenciador de certificados da CLI digita as informações do ambiente
        • Aguarde até que todos os certificados sejam gerados e uma mensagem de conclusão bem-sucedida seja exibida
          "Reset status : 100% Completed [Reset completed successfully]"
          Substituição de certificado iniciada
           
          Substituição do certificado concluída com sucesso.
        • Verifique se todos os serviços estão em execução
          service-control --all --status
          Todos os serviços em estado em execução
        • Acessar a interface do usuário do vCenter
        • O acesso pela entrada do Sistema de Nomes de Domínio (DNS) falha no Chrome devido à segurança de transporte estrita do HTTP (HSTS). Abra o IP do VCSA ou use outro navegador compatível, como o FireFox.
          Advertência de certificado
          Devido ao HSTS, o acesso via IP é necessário

 

Para o cenário 2, quando o certificado do vCenter expirar em menos de 60 dias, siga o procedimento abaixo para renovar o certificado com antecedência, a fim de evitar que o VxRail Manager se desconecte do vCenter.

  1. Faça log-in no vCenter via SSH como usuário root

  2. Reiniciar serviços

    • Executar Stop
      "service-control --stop --all"
    • Executar Início
      "service-control --start --all"
  3. Redefinir todos os certificados

    • Execute:
      "/usr/lib/vmware-vmca/bin/certificate-manager"
    • Selecione a opção 8 > Redefinir todos os certificados
      Redefinir todos os certificados (opção 8)
    • Insira o nome de usuário e a senha do vSphere
      Digite o usuário e a senha do vSphere
    • Insira as propriedades do certificado
      Gerenciador de certificados da CLI, insira as informações
    • Confirme a operação e, em seguida, os certificados da raiz ou da máquina do vCenter serão renovados
      Confirmar se os certificados foram renovados
  4. Siga o artigo Dell VxRail: Como importar manualmente o certificado SSL do vCenter no VxRail Manager para importar os certificados atualizados do vCenter e da CA para o armazenamento confiável do VxRail Manager.

Additional Information

  • SEMPRE faça snapshots de VMs do sistema (PSC, VCSA e VRM) antes de seguir este artigo.
  • Este procedimento destina-se a VMs do PSC VCSA que são mantidas por meio do LCM do VxRail.
Nota: Alguns produtos de terceiros devem ser registrados novamente ou a nova CA raiz VMCA deve ser adicionada para ser confiável (específico do produto - verifique a documentação do produto). Isso porque a comunicação foi interrompida devido à alteração do certificado Root ou VCSA.

Affected Products

VxRail Appliance Family, VxRail Appliance Series
Article Properties
Article Number: 000082108
Article Type: Solution
Last Modified: 21 Sept 2024
Version:  9
Find answers to your questions from other Dell users
Support Services
Check if your device is covered by Support Services.