VxRail: Не вдається увійти до vCenter через прострочені сертифікати

Сценарій 1: Термін дії сертифіката vCenter вже закінчився. (Для всіх версій VxRail)

• Не вдається увійти в інтерфейс користувача vCenter.
• Будь-яка спроба входу за наявності веб-інтерфейсу зазнає невдачі навіть за наявності правильних облікових даних.
  
• Не вдається перезапустити служби vCenter Server Appliance (VCSA).
• Перезапуск сервісів викликає не всі служби.

/var/log/vmware/vpxd-svcs/vpxd-svcs.log:
2020-06-03T09:31:04.523Z [pool-8-thread-1  INFO  com.vmware.identity.token.impl.X509TrustChainKeySelector  opId=905f6864-c067-4db6-828c-1d59c4b43bf8] Failed to find trusted path to signing certificate <CN=ssoserverSign>
sun.security.provider.certpath.SunCertPathBuilderException: unable to find valid certification path to requested target
        at sun.security.provider.certpath.SunCertPathBuilder.build(SunCertPathBuilder.java:141)

Сценарій 2: Термін дії сертифіката vCenter закінчується менш ніж за 60 днів. (Для версій VxRail 7.0.480 і вище)

• Вхід у vCenter UI завершено, але VxRail 7.0.480 і пізніші версії показують попередження на сторінці VxRail > Cluster Configuration VxRail > Certificate >>All Trust Store, у якому зазначено, що термін дії сертифіката закінчується менш ніж за 60 днів.
  

Термін дії сертифікатів vCenter закінчується або скоро закінчується.
Версії VxRail, які спочатку були створені до версії 4.7, можуть мати сертифікати, термін дії яких становить два роки з дати встановлення. На момент написання статті стаття збірка VxRail на 4.7.410 має всі сертифікати з 10-річним терміном служби.

Незначні оновлення версій не чіпають сертифікати!
Для VxRail, який спочатку був побудований на версії 4.5.210 і пізніше, сертифікати мають дворічний термін дії. Щоб підтвердити детальний опис

, перегляньте статтю VMware Security Token Service (STS) Перевірка терміну дії сертифіката STS на серверах vCenter (79248).Використовуйте перегляд сертифіката в браузері сторінки входу в систему VCSA, щоб підтвердити, що термін дії сертифіката закінчився. Або перелічіть сертифікати в CLI Контролера служб платформи (PSC) (VCSA). Дивіться помилки команд зі статті VMware Сертифікат підпису не дійсний» у VCSA 6.5.x,6.7.x або vCenter Server 7.0.x, 8.0.x. (76719)

for i in $(/usr/lib/vmware-vmafd/bin/vecs-cli store list); do echo STORE $i; /usr/lib/vmware-vmafd/bin/vecs-cli entry list --store $i --text | egrep "Alias|Not After"; done

У сценарії 1, коли термін дії сертифіката vCenter вже закінчився, дотримуйтесь наведеної нижче процедури, щоб створити нові самопідписані сертифікати на PSC і VCSA.

1. Виправити PSC:
   Скинути всі сертифікати (це не вдається, але це очікувано.)

   • Запустіть диспетчер сертифікатів:

     /usr/lib/vmware-vmca/bin/certificate-manager

   • Виберіть опцію 8 > Скинути всі сертифікати
     • Підтвердити

       "Do you wish to generate all certificates using configuration file : Option[Y/N] ?"

     • Введіть облікові дані
       
     • Введіть значення
       • Залиште поле "IPAddress" порожнім
       • Введіть ім'я хоста як повне доменне ім'я (FQDN) PSC
       • Поле імені VMware Certificate Authority (VMCA) — це ім'я нового кореневого ЦС, що створюється, наприклад, VxRail CA.
     • Підтвердити

       "Continue operation : Option[Y/N] ?"

     • Підтвердити

       "Continue operation : Option[Y/N] ?"

       • Ця операція не вдається при:

         Get site nameCompleted [Reset Machine SSL Cert...]
         g3node-site
         Lookup all services
         Get service xxxxxx-site:xxxxxxx-d202-4d8f-9282-xxxxxx317b8f
         Update service xxxxxx-site:xxxxxxxx-d202-4d8f-9282-xxxxxx317b8f; spec: /tmp/svcspec_a1hipoqq
         
         Status : 0% Completed [Reset operation failed]
         
         please see /var/log/vmware/vmcad/certificate-manager.log for more information.
         root@xxxxc [ ~ ]#

         

     • Виправте проблему
       з STS Завантажте та запустіть помилку "Сертифікат підпису не дійсний" у VCSA 6.5.x,6.7.x або vCenter Server 7.0.x, 8.0.x. (76719)
       

       • Зупинити послуги

         service-control --all --stop

       • Запустити служби (це не вдається, але це очікувано)

         service-control --all --start

         
       • Зачекайте, поки час очікування процесу закінчиться, або зупиніть його, коли він потрапить до служби "vmware-vmon"

         /usr/lib/vmware-vmca/bin/certificate-manager

       • Виберіть опцію 6 > "Замінити сертифікати користувача Solution на сертифікати VMCA"
       • Підтвердити

         "Do you wish to generate all certificates using configuration file : Option[Y/N] ?"

       • Введіть облікові дані
       • Відхилити (введіть "N") для повторної конфігурації, оскільки всі параметри були налаштовані вище

         "certool.cfg file exists, Do you wish to reconfigure : Option[Y/N] ?"

       • Підтвердити

         "You are going to regenerate Solution User Certificates using VMCA, Continue operation : Option[Y/N] ?"

       • Дочекайтеся виходу з процедури. Цей порядок дій:
         • Генерує всі сертифікати
         • Зупиняє надання послуг
         • Запускає послуги
           
       • Підтвердьте , чи всі Служби працюють

         service-control --all --status

         

     • Виправте сертифікати на VCSA
       Зупиніться та запустіть усі служби. Це ОБОВ'ЯЗКОВО потрібно зробити ПІСЛЯ того, як всі служби PSC запущені!

       • Зупинити

         service-control --all --stop

       • Почати

         service-control --all --start

         
       • Зачекайте, поки час очікування процесу закінчиться, або зупиніть його, коли він потрапить до служби vmware-vmon

         /usr/lib/vmware-vmca/bin/certificate-manager

       • Виберіть опцію 8 > Скинути всі сертифікати
       • Запустити диспетчер сертифікатів
       • Підтвердити

         "Do you wish to generate all certificates using configuration file : Option[Y/N] ?"

       • Введіть облікові дані
         
       • Введіть PSC IP
       • Введіть значення
         • Залиште поле IPAddress порожнім
         • Введіть ім'я хоста як FQDN VCSA
         • Поле VMCA Name — це ім'я нового кореневого ЦС, що створюється, наприклад, VxRail CA.
       • Підтвердити

         "Continue operation : Option[Y/N] ?"

       • Підтвердити

         "Continue operation : Option[Y/N] ?"

         
       • Зачекайте, поки всі сертифікати будуть згенеровані та з'явиться повідомлення про успішне завершення

         "Reset status : 100% Completed [Reset completed successfully]"

         
          
         
       • Перевірте, чи всі служби працюють

         service-control --all --status

         
       • Доступ до інтерфейсу vCenter UI
       • Не вдається отримати доступ за допомогою системи доменних імен (DNS) у Chrome через сувору безпеку транспортування HTTP (HSTS). Відкрийте IP-адресу VCSA або скористайтеся іншим підтримуваним браузером, наприклад FireFox.
         
         

У сценарії 2, коли термін дії сертифіката vCenter закінчується менш ніж за 60 днів, дотримуйтесь наведеної нижче процедури, щоб поновити сертифікат заздалегідь, щоб уникнути відключення менеджера VxRail від vCenter.

1. Увійдіть у vCenter по SSH як користувач root

2. Перезапуск служб

   • Зупинка бігу

     "service-control --stop --all"

   • Запуск Старт

     "service-control --start --all"

3. Скинути всі сертифікати

   • Бігти:

     "/usr/lib/vmware-vmca/bin/certificate-manager"

   • Виберіть опцію 8 > Скинути всі сертифікати
     
   • Введіть ім'я користувача та пароль vSphere
     
   • Введіть властивості сертифіката
     
   • Підтвердьте операцію, після чого поновлюються кореневі сертифікати vCenter або машини
     

4. Слідкуйте за статтею Dell VxRail: Як вручну імпортувати сертифікат vCenter SSL у VxRail Manager , щоб імпортувати оновлені сертифікати vCenter і CA в сховище довіри VxRail Manager.

• ЗАВЖДИ робіть знімки віртуальних машин системи (PSC, VCSA та VRM) перед тим, як слідкувати за цією статтею.
• Ця процедура призначена для віртуальних машин PSC, VCSA, які підтримуються через VxRail LCM.

• Якщо у користувача є сертифікати з власної інфраструктури, він може замінити їх зараз.
• Після виправлення для VxRail версії 4.7.100 і новіших, дотримуйтесь статті в базі знань Dell VxRail: Як вручну імпортувати сертифікат vCenter SSL на VxRail Manager , щоб імпортувати новий кореневий сертифікат у VRM (плагін не працює).