VxRail: Det går inte att logga in på vCenter på grund av utgångna certifikat

Scenario 1: vCenter-certifikatet har redan upphört att gälla. (För alla VxRail-versioner)

• Det går inte att logga in på vCenter-gränssnittet.
• Alla inloggningsförsök när webbgränssnittet är tillgängligt misslyckas även med korrekta autentiseringsuppgifter.
  
• Det går inte att starta om VCSA-tjänsterna (vCenter Server Appliance).
• Alla tjänster startas inte om när tjänsterna startas om.

/var/log/vmware/vpxd-svcs/vpxd-svcs.log:
2020-06-03T09:31:04.523Z [pool-8-thread-1  INFO  com.vmware.identity.token.impl.X509TrustChainKeySelector  opId=905f6864-c067-4db6-828c-1d59c4b43bf8] Failed to find trusted path to signing certificate <CN=ssoserverSign>
sun.security.provider.certpath.SunCertPathBuilderException: unable to find valid certification path to requested target
        at sun.security.provider.certpath.SunCertPathBuilder.build(SunCertPathBuilder.java:141)

Scenario 2: vCenter-certifikatet upphör att gälla om mindre än 60 dagar. (För VxRail 7.0.480 och senare versioner)

• Inloggningen till vCenter-gränssnittet har slutförts men i VxRail 7.0.480 och senare versioner visas en varning i VxRail Cluster > Configure > VxRail > Certificate >All Trust Store Certificates som anger att certifikatet upphör att gälla om mindre än 60 dagar.
  

vCenter-certifikat har upphört att gälla eller upphör snart att gälla.
VxRail-versioner som ursprungligen byggdes före 4.7 kan ha certifikat som utfärdas med en livslängd på två år från installationsdatumet. När den här artikeln skrivs har en VxRail-version på 4.7.410 alla certifikat med en livslängd på 10 år.

Delversionsuppgraderingar berör inte certifikaten!
För en VxRail som ursprungligen byggdes på 4.5.210 och senare versioner har certifikaten en giltighetstid på två år. Läs VMware-artikeln för VMware Security Token Service (STS) som kontrollerar utgångsdatum för STS-certifikat på vCenter-servrar (79248) för att bekräfta den detaljerade beskrivningen.

Använd vyn certifikatet i webbläsaren på inloggningssidan i VCSA för att bekräfta att certifikatet har upphört att gälla. Eller visa en lista över certifikaten i CLI för Platform Services Controller (PSC) (VCSA). Se kommandon från VMware-artikeln Signeringscertifikatet är inte giltigt" i VCSA 6.5.x, 6.7.x eller vCenter Server 7.0.x, 8.0.x. (76719)

for i in $(/usr/lib/vmware-vmafd/bin/vecs-cli store list); do echo STORE $i; /usr/lib/vmware-vmafd/bin/vecs-cli entry list --store $i --text | egrep "Alias|Not After"; done

För scenario 1, när vCenter-certifikatet redan har upphört att gälla, följer du proceduren nedan för att generera nya självsignerade certifikat på PSC och VCSA.

1. Åtgärda PSC:
   Återställ alla certifikat (det går inte, men det förväntas.)

   • Starta certifikathanteraren:

     /usr/lib/vmware-vmca/bin/certificate-manager

   • Välj alternativ 8 > : Återställ alla certifikat
     • Bekräfta

       "Do you wish to generate all certificates using configuration file : Option[Y/N] ?"

     • Ange inloggningsuppgifter
       
     • Ange värden
       • Lämna fältet "IPAddress" tomt
       • Ange värdnamn som fullständigt kvalificerat domännamn (FQDN) för PSC
       • Fältet Namn på VMware Certificate Authority (VMCA) är namnet på en ny rotcertifikatutfärdare som skapas, till exempel VxRail CA.
     • Bekräfta

       "Continue operation : Option[Y/N] ?"

     • Bekräfta

       "Continue operation : Option[Y/N] ?"

       • Den här åtgärden misslyckas med:

         Get site nameCompleted [Reset Machine SSL Cert...]
         g3node-site
         Lookup all services
         Get service xxxxxx-site:xxxxxxx-d202-4d8f-9282-xxxxxx317b8f
         Update service xxxxxx-site:xxxxxxxx-d202-4d8f-9282-xxxxxx317b8f; spec: /tmp/svcspec_a1hipoqq
         
         Status : 0% Completed [Reset operation failed]
         
         please see /var/log/vmware/vmcad/certificate-manager.log for more information.
         root@xxxxc [ ~ ]#

         

     • Åtgärda STS-problemet
       Hämta och kör skriptet från VMware-artikeln Felet "Signeringscertifikatet är inte giltigt" i VCSA 6.5.x, 6.7.x eller vCenter Server 7.0.x, 8.0.x. (76719)
       

       • Stoppa tjänster

         service-control --all --stop

       • Starta tjänster (det går inte, men det förväntas)

         service-control --all --start

         
       • Vänta tills processen överskrider tidsgränsen eller stoppa den när den kommer till tjänsten vmware-vmon

         /usr/lib/vmware-vmca/bin/certificate-manager

       • Välj alternativ 6 > "Ersätt lösningsanvändarcertifikat med VMCA-certifikat"
       • Bekräfta

         "Do you wish to generate all certificates using configuration file : Option[Y/N] ?"

       • Ange inloggningsuppgifter
       • Neka (ange "N") för omkonfigurering eftersom alla alternativ konfigurerades ovan

         "certool.cfg file exists, Do you wish to reconfigure : Option[Y/N] ?"

       • Bekräfta

         "You are going to regenerate Solution User Certificates using VMCA, Continue operation : Option[Y/N] ?"

       • Vänta tills proceduren avslutas. Den här proceduren:
         • Genererar alla certifikat
         • Stoppar tjänsterna
         • Startar tjänsterna
           
       • Bekräfta om alla tjänster körs

         service-control --all --status

         

     • Åtgärda certifikat på VCSA
       Stoppa och starta alla tjänster. Detta MÅSTE göras NÄR alla PSC-tjänster är igång!

       • Stopp

         service-control --all --stop

       • Start

         service-control --all --start

         
       • Vänta tills tidsgränsen för processen överskrids eller stoppa den när den kommer till tjänsten vmware-vmon

         /usr/lib/vmware-vmca/bin/certificate-manager

       • Välj alternativ 8 > : Återställ alla certifikat
       • Starta certifikathanteraren
       • Bekräfta

         "Do you wish to generate all certificates using configuration file : Option[Y/N] ?"

       • Ange inloggningsuppgifter
         
       • Ange PSC IP
       • Ange värden
         • Lämna fältet IPAddress tomt
         • Ange värdnamn som FQDN för VCSA
         • Fältet VMCA-namn är namnet på den nya rotcertifikatutfärdaren som skapas, till exempel VxRail-certifikatutfärdaren.
       • Bekräfta

         "Continue operation : Option[Y/N] ?"

       • Bekräfta

         "Continue operation : Option[Y/N] ?"

         
       • Vänta tills alla certifikat har genererats och ett meddelande om slutförande visas

         "Reset status : 100% Completed [Reset completed successfully]"

         
          
         
       • Kontrollera att alla tjänster körs

         service-control --all --status

         
       • Åtkomst till vCenter-gränssnittet
       • DNS-inmatning (Domain Name System) misslyckas i Chrome på grund av HTTP Strict Transport Security (HSTS). Öppna VCSA-IP-adressen eller använd en annan webbläsare som stöds, till exempel Firefox.
         
         

I scenario 2, när vCenter-certifikatet upphör att gälla om mindre än 60 dagar, följer du proceduren nedan för att förnya certifikatet i förväg för att undvika att VxRail Manager kopplas bort från vCenter.

1. Logga in på vCenter via SSH som rotanvändare

2. Starta om tjänsterna

   • Kör stopp

     "service-control --stop --all"

   • Kör Start

     "service-control --start --all"

3. Återställ alla certifikat

   • Kör:

     "/usr/lib/vmware-vmca/bin/certificate-manager"

   • Välj alternativ 8 > : Återställ alla certifikat
     
   • Ange användarnamn och lösenord för vSphere
     
   • Ange certifikategenskaperna
     
   • Bekräfta åtgärden och förnya sedan vCenter-rot- eller maskincertifikaten
     

4. Följ artikeln Dell VxRail: Så här importerar du vCenter SSL-certifikat manuellt på VxRail Manager för att importera de uppdaterade vCenter- och CA-certifikaten till VxRail Manager-förtroendearkivet.

• Ta ALLTID ögonblicksbilder av virtuella systemdatorer (PSC, VCSA och VRM) innan du följer den här artikeln.
• Den här proceduren är avsedd för virtuella PSC VCSA-datorer som underhålls via VxRail LCM.

• Om en användare har certifikat från sin egen infrastruktur kan de ersätta dem nu.
• Efter korrigeringen för VxRail version 4.7.100 och senare följer du KB-artikeln Dell VxRail: Så här importerar du vCenter SSL-certifikat manuellt på VxRail Manager för att importera ett nytt rotcertifikat till VRM (insticksprogrammet fungerar inte).