VxRail: No se puede iniciar sesión en vCenter debido a certificados vencidos

Situación 1: El certificado de vCenter ya está vencido. (Para todas las versiones de VxRail)

• No se puede iniciar sesión en la interfaz de usuario de vCenter.
• Cualquier intento de inicio de sesión cuando la interfaz de usuario web está disponible falla incluso con las credenciales correctas.
  
• Se produce un error al reiniciar los servicios de vCenter Server Appliance (VCSA).
• El reinicio de los servicios no abre todos los servicios.

/var/log/vmware/vpxd-svcs/vpxd-svcs.log:
2020-06-03T09:31:04.523Z [pool-8-thread-1  INFO  com.vmware.identity.token.impl.X509TrustChainKeySelector  opId=905f6864-c067-4db6-828c-1d59c4b43bf8] Failed to find trusted path to signing certificate <CN=ssoserverSign>
sun.security.provider.certpath.SunCertPathBuilderException: unable to find valid certification path to requested target
        at sun.security.provider.certpath.SunCertPathBuilder.build(SunCertPathBuilder.java:141)

Situación 2: El certificado de vCenter vence en menos de 60 días. (Para VxRail 7.0.480 y versiones superiores)

• Se completó el inicio de sesión en la interfaz de usuario de vCenter, pero en VxRail 7.0.480 y versiones posteriores, se muestra una advertencia en la página VxRail Cluster > Configure > VxRail > Certificate >All Trust Store Certificates que indica que el certificado vence en menos de 60 días.
  

Los certificados de vCenter vencieron o vencerán pronto.
Las versiones de VxRail que se crearon inicialmente antes de 4.7 pueden tener certificados emitidos con una vida útil de dos años a partir de la fecha de instalación. En el momento de escribir este artículo, una compilación de VxRail en 4.7.410 tiene todos los certificados con una vida útil de 10 años.

Las actualizaciones de versiones secundarias no tocan los certificados.
Para un VxRail que se creó inicialmente en 4.5.210 y versiones posteriores, los certificados tienen un período de validez de dos años. Consulte el artículo de VMware sobre la comprobación del vencimiento del certificado STS del servicio de token de seguridad (STS) de VMware en vCenter Servers (79248) para confirmar la descripción detallada.

Utilice la opción Ver el certificado en el navegador de la página de inicio de sesión de VCSA para confirmar que el certificado venció. O enumere los certificados en la CLI de la controladora de servicios de plataforma (PSC) (VCSA). Consulte los comandos del artículo de VMware Error "El certificado de firma no es válido" en VCSA 6.5.x, 6.7.x o vCenter Server 7.0.x, 8.0.x. (76719)

for i in $(/usr/lib/vmware-vmafd/bin/vecs-cli store list); do echo STORE $i; /usr/lib/vmware-vmafd/bin/vecs-cli entry list --store $i --text | egrep "Alias|Not After"; done

Para la situación 1, cuando el certificado de vCenter ya venció, siga el procedimiento que se indica a continuación para generar nuevos certificados autofirmados en PSC y VCSA.

1. Corrija PSC:
   Restablecer todos los certificados (esto falla, pero es esperado).

   • Inicie el Administrador de certificados:

     /usr/lib/vmware-vmca/bin/certificate-manager

   • Seleccione la opción 8 > Reset all certificates
     • Confirmar

       "Do you wish to generate all certificates using configuration file : Option[Y/N] ?"

     • Ingresar credenciales
       
     • Ingresar valores
       • Deje el campo "IPAddress" vacío
       • Ingrese el nombre de host como nombre de dominio calificado (FQDN) de PSC
       • El campo VMware Certificate Authority (VMCA) Name es el nombre de una nueva CA raíz que se crea, por ejemplo, VxRail CA.
     • Confirmar

       "Continue operation : Option[Y/N] ?"

     • Confirmar

       "Continue operation : Option[Y/N] ?"

       • Esta operación falla con lo siguiente:

         Get site nameCompleted [Reset Machine SSL Cert...]
         g3node-site
         Lookup all services
         Get service xxxxxx-site:xxxxxxx-d202-4d8f-9282-xxxxxx317b8f
         Update service xxxxxx-site:xxxxxxxx-d202-4d8f-9282-xxxxxx317b8f; spec: /tmp/svcspec_a1hipoqq
         
         Status : 0% Completed [Reset operation failed]
         
         please see /var/log/vmware/vmcad/certificate-manager.log for more information.
         root@xxxxc [ ~ ]#

         

     • Solucione el problema
       de STS: descargue y ejecute el script desde el error " El certificado de firma no es válido" del artículo de VMware en VCSA 6.5.x, 6.7.x o vCenter Server 7.0.x, 8.0.x. (76719)
       

       • Detener los servicios

         service-control --all --stop

       • Iniciar servicios (esto falla, pero es esperado)

         service-control --all --start

         
       • Espere a que se agote el tiempo de espera del proceso o deténgalo cuando llegue al servicio "vmware-vmon"

         /usr/lib/vmware-vmca/bin/certificate-manager

       • Seleccione la opción 6 > "Reemplazar los certificados de usuario de la solución por certificados de VMCA"
       • Confirmar

         "Do you wish to generate all certificates using configuration file : Option[Y/N] ?"

       • Ingresar credenciales
       • Denegar (ingrese "N") para volver a configurar, ya que todas las opciones se configuraron anteriormente

         "certool.cfg file exists, Do you wish to reconfigure : Option[Y/N] ?"

       • Confirmar

         "You are going to regenerate Solution User Certificates using VMCA, Continue operation : Option[Y/N] ?"

       • Espere hasta que finalice el procedimiento. Este procedimiento realiza lo siguiente:
         • Genera todos los certificados
         • Detiene los servicios
         • Inicia los servicios
           
       • Confirme si todos los servicios están en ejecución

         service-control --all --status

         

     • Corregir certificados en VCSA
       Detenga e inicie todos los servicios. Esto DEBE realizarse DESPUÉS de que se ejecuten todos los servicios de PSC.

       • Detener

         service-control --all --stop

       • Inicio

         service-control --all --start

         
       • Espere a que se agote el tiempo de espera del proceso o deténgalo cuando llegue al servicio vmware-vmon

         /usr/lib/vmware-vmca/bin/certificate-manager

       • Seleccione la opción 8 > Reset all certificates
       • Iniciar el Administrador de certificados
       • Confirmar

         "Do you wish to generate all certificates using configuration file : Option[Y/N] ?"

       • Ingresar credenciales
         
       • Ingrese la IP de PSC
       • Ingresar valores
         • Deje el campo IPAddress vacío
         • Ingrese el nombre de host como FQDN de VCSA
         • El campo VMCA Name es el nombre de la nueva CA raíz que se crea; por ejemplo, VxRail CA.
       • Confirmar

         "Continue operation : Option[Y/N] ?"

       • Confirmar

         "Continue operation : Option[Y/N] ?"

         
       • Espere hasta que se generen todos los certificados y aparezca un mensaje de finalización correcta

         "Reset status : 100% Completed [Reset completed successfully]"

         
          
         
       • Compruebe que todos los servicios estén en ejecución

         service-control --all --status

         
       • Acceder a la interfaz de usuario de vCenter
       • El acceso mediante la entrada del sistema de nombres de dominio (DNS) falla en Chrome debido a la seguridad de transporte estricta de HTTP (HSTS). Abra la IP de VCSA o utilice otro navegador compatible, como FireFox.
         
         

En el caso 2, cuando el certificado de vCenter venza en menos de 60 días, siga el procedimiento que se indica a continuación para renovar el certificado con anticipación a fin de evitar que VxRail Manager se desconecte de vCenter.

1. Inicie sesión en vCenter a través de SSH como usuario raíz

2. Reiniciar servicios

   • Ejecutar detención

     "service-control --stop --all"

   • Ejecutar inicio

     "service-control --start --all"

3. Restablecer todos los certificados

   • Ejecute lo siguiente:

     "/usr/lib/vmware-vmca/bin/certificate-manager"

   • Seleccione la opción 8 > Reset all certificates
     
   • Ingrese el nombre de usuario y la contraseña de vSphere
     
   • Ingrese las propiedades del certificado
     
   • Confirme la operación y, a continuación, se renuevan los certificados de máquina o raíz de vCenter
     

4. Siga el artículo Dell VxRail: Cómo importar manualmente el certificado SSL de vCenter en VxRail Manager para importar los certificados de vCenter y CA actualizados al almacén de confianza de VxRail Manager.

• SIEMPRE tome instantáneas de las VM del sistema (PSC, VCSA y VRM) antes de seguir este artículo.
• Este procedimiento está diseñado para las VM de PSC VCSA que se mantienen a través de la LCM de VxRail.

• Si un usuario tiene certificados de su propia infraestructura, ahora puede reemplazarlos.
• Después de la corrección para VxRail versión 4.7.100 y posteriores, siga el artículo de la base de conocimientos Dell VxRail: Cómo importar manualmente el certificado SSL de vCenter en VxRail Manager para importar un nuevo certificado raíz a VRM (el plug-in no funciona).