VxRail. Не удается войти в vCenter из-за истечения срока действия сертификатов

Сценарий 1. Срок действия сертификата vCenter уже истек. (Для всех версий VxRail.)

• Не удается войти в пользовательский интерфейс vCenter.
• Любая попытка входа при доступном веб-интерфейсе завершается сбоем даже при наличии правильных учетных данных.
  
• Сбой перезапуска служб vCenter Server Appliance (VCSA).
• Перезапуск служб приводит не ко всем службам.

/var/log/vmware/vpxd-svcs/vpxd-svcs.log:
2020-06-03T09:31:04.523Z [pool-8-thread-1  INFO  com.vmware.identity.token.impl.X509TrustChainKeySelector  opId=905f6864-c067-4db6-828c-1d59c4b43bf8] Failed to find trusted path to signing certificate <CN=ssoserverSign>
sun.security.provider.certpath.SunCertPathBuilderException: unable to find valid certification path to requested target
        at sun.security.provider.certpath.SunCertPathBuilder.build(SunCertPathBuilder.java:141)

Сценарий 2. Срок действия сертификата vCenter истекает менее чем через 60 дней. (Для VxRail 7.0.480 и более поздних версий)

• Вход в пользовательский интерфейс vCenter завершен, но в VxRail 7.0.480 и более поздних версий отображается предупреждение в кластере VxRail Настройка >> сертификата > VxRail >На странице «All Trust Store Certificates» указывается, что срок действия сертификата истекает менее чем через 60 дней.
  

Срок действия сертификатов vCenter истек или скоро истечет.
Версии VxRail, которые изначально были созданы до 4.7, могут иметь выданные сертификаты со сроком службы два года с даты установки. На момент написания этой статьи сборка VxRail 4.7.410 имеет все сертификаты со сроком службы 10 лет.

Обновления дополнительной версии не затрагивают сертификаты!
Для системы VxRail, которая изначально была создана на базе 4.5.210 и более поздних версий, срок действия сертификатов составляет два года. Чтобы подтвердить подробное описание, см.

статью VMware Security Token Service (STS) Проверка истечения срока действия сертификата STS на серверах vCenter (79248).Просмотр сертификата в браузере на странице входа в VCSA для подтверждения истечения срока действия сертификата. Или перечислите сертификаты в интерфейсе командной строки контроллера служб платформы (PSC) (VCSA). См. команды из статьи VMware «Сертификат подписи недействителен» в VCSA 6.5.x, 6.7.x или vCenter Server 7.0.x, 8.0.x. (76719)

for i in $(/usr/lib/vmware-vmafd/bin/vecs-cli store list); do echo STORE $i; /usr/lib/vmware-vmafd/bin/vecs-cli entry list --store $i --text | egrep "Alias|Not After"; done

В сценарии 1, когда срок действия сертификата vCenter уже истек, выполните следующую процедуру для создания новых самозаверяющих сертификатов в PSC и VCSA.

1. Исправление PSC.
   Сбросить все сертификаты (Это приведет к сбою, но это ожидаемо).

   • Запуск диспетчера сертификатов.

     /usr/lib/vmware-vmca/bin/certificate-manager

   • Выберите вариант 8 > Сбросить все сертификаты
     • Confirm

       "Do you wish to generate all certificates using configuration file : Option[Y/N] ?"

     • Ввод учетных данных
       
     • Ввести значения
       • Оставьте поле «IPAddress» пустым
       • Введите имя хоста в качестве полного доменного имени (FQDN) PSC
       • Поле Имя источника сертификатов VMware (VMCA) — это имя нового создаваемого корневого центра сертификации, например источник сертификатов VxRail.
     • Confirm

       "Continue operation : Option[Y/N] ?"

     • Confirm

       "Continue operation : Option[Y/N] ?"

       • Эта операция завершается ошибкой:

         Get site nameCompleted [Reset Machine SSL Cert...]
         g3node-site
         Lookup all services
         Get service xxxxxx-site:xxxxxxx-d202-4d8f-9282-xxxxxx317b8f
         Update service xxxxxx-site:xxxxxxxx-d202-4d8f-9282-xxxxxx317b8f; spec: /tmp/svcspec_a1hipoqq
         
         Status : 0% Completed [Reset operation failed]
         
         please see /var/log/vmware/vmcad/certificate-manager.log for more information.
         root@xxxxc [ ~ ]#

         

     • Исправление проблемы
       STS Скачайте и запустите сценарий из статьи об ошибке VMware «Сертификат подписи недействителен» в VCSA 6.5.x,6.7.x или vCenter Server 7.0.x, 8.0.x. (76719)
       

       • Остановка служб

         service-control --all --stop

       • Запустите службы (Это не удается, но это ожидаемо)

         service-control --all --start

         
       • Дождитесь истечения времени ожидания процесса или остановите его, когда он достигнет сервиса «vmware-vmon»

         /usr/lib/vmware-vmca/bin/certificate-manager

       • Выберите вариант 6 > «Заменить сертификаты пользователя решения сертификатами VMCA».
       • Confirm

         "Do you wish to generate all certificates using configuration file : Option[Y/N] ?"

       • Ввод учетных данных
       • Отклонить (введите «N») для перенастройки, так как все параметры были настроены выше

         "certool.cfg file exists, Do you wish to reconfigure : Option[Y/N] ?"

       • Confirm

         "You are going to regenerate Solution User Certificates using VMCA, Continue operation : Option[Y/N] ?"

       • Дождитесь завершения процедуры. Следующая процедура:
         • Создает все сертификаты
         • Останавливает работу служб
         • Запускает службы
           
       • Убедитесь , что все службы запущены

         service-control --all --status

         

     • Исправление сертификатов в VCSA
       Остановите и запустите все службы. Это НЕОБХОДИМО сделать ПОСЛЕ запуска всех служб PSC!

       • Остановка

         service-control --all --stop

       • Запуск

         service-control --all --start

         
       • Дождитесь истечения времени ожидания процесса или остановите его, когда он попадет в службу vmware-vmon

         /usr/lib/vmware-vmca/bin/certificate-manager

       • Выберите вариант 8 > Сбросить все сертификаты
       • Запуск диспетчера сертификатов
       • Confirm

         "Do you wish to generate all certificates using configuration file : Option[Y/N] ?"

       • Ввод учетных данных
         
       • Введите IP-адрес PSC
       • Ввести значения
         • Оставьте поле IPAddress пустым
         • Введите имя хоста в качестве полного доменного имени VCSA
         • Поле Имя VMCA — это имя нового создаваемого корневого центра сертификации, например источник сертификатов VxRail.
       • Confirm

         "Continue operation : Option[Y/N] ?"

       • Confirm

         "Continue operation : Option[Y/N] ?"

         
       • Подождите, пока не будут созданы все сертификаты и не появится сообщение об успешном завершении

         "Reset status : 100% Completed [Reset completed successfully]"

         
          
         
       • Убедитесь, что все службы запущены

         service-control --all --status

         
       • Доступ к пользовательскому интерфейсу vCenter
       • Доступ по записи системы доменных имен (DNS) не работает в Chrome из-за строгой безопасности транспорта (HSTS) HTTP. Откройте IP-адрес VCSA или используйте другой поддерживаемый браузер, например FireFox.
         
         

Для сценария 2, когда срок действия сертификата vCenter истекает менее чем через 60 дней, выполните приведенную ниже процедуру, чтобы продлить сертификат заранее, чтобы избежать отключения VxRail Manager от vCenter.

1. Войдите в vCenter по протоколу SSH в качестве пользователя root

2. Перезапуск служб

   • Остановка бега

     "service-control --stop --all"

   • Запуск запуска

     "service-control --start --all"

3. Сбросить все сертификаты

   • Выполните:

     "/usr/lib/vmware-vmca/bin/certificate-manager"

   • Выберите вариант 8 > Сбросить все сертификаты
     
   • Введите имя пользователя и пароль vSphere
     
   • Введите свойства сертификата
     
   • Подтвердите операцию, после чего корневые сертификаты vCenter или сертификаты компьютера будут обновлены
     

4. См . статью Dell VxRail. Импорт SSL-сертификата vCenter в VxRail Manager вручную для импорта обновленных сертификатов vCenter и CA в хранилище доверия VxRail Manager.

• ВСЕГДА создавайте моментальные снимки виртуальных машин системы (PSC, VCSA и VRM) перед продолжением работы с этой статьей.
• Эта процедура предназначена для виртуальных машин PSC VCSA, которые обслуживаются с помощью VxRail LCM.

• Если у пользователя есть сертификаты из собственной инфраструктуры, он может заменить их сейчас.
• После исправления для VxRail версии 4.7.100 и более поздних см. статью базы знаний Dell VxRail. Импорт SSL-сертификата vCenter в VxRail Manager вручную для импорта нового корневого сертификата в VRM (подключаемый модуль не работает).