VxRail: Anmeldung bei vCenter aufgrund abgelaufener Zertifikate nicht möglich

Szenario 1: Das vCenter-Zertifikat ist bereits abgelaufen. (Für alle VxRail-Versionen)

• Anmeldung bei der vCenter-Benutzeroberfläche nicht möglich.
• Jeder Anmeldeversuch, wenn die Webnutzeroberfläche verfügbar ist, schlägt selbst bei korrekten Anmeldeinformationen fehl.
  
• Der Neustart der vCenter Server Appliance (VCSA)-Services schlägt fehl.
• Beim Neustart von Services werden nicht alle Services angezeigt.

/var/log/vmware/vpxd-svcs/vpxd-svcs.log:
2020-06-03T09:31:04.523Z [pool-8-thread-1  INFO  com.vmware.identity.token.impl.X509TrustChainKeySelector  opId=905f6864-c067-4db6-828c-1d59c4b43bf8] Failed to find trusted path to signing certificate <CN=ssoserverSign>
sun.security.provider.certpath.SunCertPathBuilderException: unable to find valid certification path to requested target
        at sun.security.provider.certpath.SunCertPathBuilder.build(SunCertPathBuilder.java:141)

Szenario 2: Das vCenter-Zertifikat läuft in weniger als 60 Tagen ab. (Für VxRail 7.0.480-Versionen und höher)

• Die Anmeldung bei der vCenter-Benutzeroberfläche ist abgeschlossen, aber VxRail 7.0.480 und spätere Versionen zeigen eine Warnung auf der Seite VxRail-Cluster >>> konfigurieren >Alle Truststore-Zertifikate an, die besagt, dass das Zertifikat in weniger als 60 Tagen abläuft.
  

vCenter-Zertifikate sind abgelaufen oder laufen in Kürze ab.
VxRail-Versionen, die ursprünglich vor 4.7 erstellt wurden, verfügen möglicherweise über Zertifikate, die mit einer Lebensdauer von zwei Jahren ab Installationsdatum ausgestellt wurden. Zum Zeitpunkt der Erstellung dieses Artikels verfügt ein VxRail-Build auf 4.7.410 über alle Zertifikate mit einer Lebensdauer von 10 Jahren.

Kleinere Versionsupgrades haben keine Auswirkungen auf die Zertifikate!
Für ein VxRail-System, das anfänglich auf 4.5.210 und höheren Versionen erstellt wurde, haben die Zertifikate eine Gültigkeitsdauer von zwei Jahren. Lesen Sie den VMware-Artikel für VMware Security Token Service (STS) Checking Expiration of STS Certificate on vCenter Server (79248), um die detaillierte Beschreibung zu bestätigen.

Verwenden Sie die Option zum Anzeigen des Zertifikats im Browser auf der Anmeldeseite der VCSA, um zu bestätigen, dass das Zertifikat abgelaufen ist. Oder listen Sie die Zertifikate in der CLI des Platform Services Controller (PSC) (VCSA) auf. Siehe Befehle im VMware-Artikel Fehler "Signing certificate is not valid" in VCSA 6.5.x,6.7.x oder vCenter Server 7.0.x, 8.0.x. (76719)

for i in $(/usr/lib/vmware-vmafd/bin/vecs-cli store list); do echo STORE $i; /usr/lib/vmware-vmafd/bin/vecs-cli entry list --store $i --text | egrep "Alias|Not After"; done

Wenn das vCenter-Zertifikat für Szenario 1 bereits abgelaufen ist, führen Sie das folgende Verfahren aus, um neue selbstsignierte Zertifikate auf PSC und VCSA zu erzeugen.

1. PSC korrigieren:
   Alle Zertifikate zurücksetzen (Dies schlägt fehl, ist aber zu erwarten.)

   • Starten Sie den Zertifikat-Manager:

     /usr/lib/vmware-vmca/bin/certificate-manager

   • Option 8 > Alle Zertifikate zurücksetzen auswählen
     • Bestätigen

       "Do you wish to generate all certificates using configuration file : Option[Y/N] ?"

     • Anmeldeinformationen eingeben
       
     • Werte eingeben
       • Lassen Sie das Feld "IP-Adresse" leer.
       • Geben Sie den Hostnamen als vollständig qualifizierten Domänennamen (FQDN) von PSC ein.
       • Das Feld VMware Certificate Authority (VMCA) Name ist der Name einer neuen Stammzertifizierungsstelle, die erstellt wird, z. B. VxRail CA.
     • Bestätigen

       "Continue operation : Option[Y/N] ?"

     • Bestätigen

       "Continue operation : Option[Y/N] ?"

       • Dieser Vorgang schlägt fehl mit:

         Get site nameCompleted [Reset Machine SSL Cert...]
         g3node-site
         Lookup all services
         Get service xxxxxx-site:xxxxxxx-d202-4d8f-9282-xxxxxx317b8f
         Update service xxxxxx-site:xxxxxxxx-d202-4d8f-9282-xxxxxx317b8f; spec: /tmp/svcspec_a1hipoqq
         
         Status : 0% Completed [Reset operation failed]
         
         please see /var/log/vmware/vmcad/certificate-manager.log for more information.
         root@xxxxc [ ~ ]#

         

     • Beheben Sie das STS-Problem
       . Laden Sie das Skript aus dem VMware-Artikel herunter und führen Sie es aus. Fehler "Signaturzertifikat ist ungültig" in VCSA 6.5.x,6.7.x oder vCenter Server 7.0.x, 8.0.x. (76719)
       

       • Beenden der Services

         service-control --all --stop

       • Starten von Services (Dies schlägt fehl, ist aber zu erwarten)

         service-control --all --start

         
       • Warten Sie, bis der Prozess eine Zeitüberschreitung aufweist, oder stoppen Sie ihn, wenn der Service "vmware-vmon" erreicht wird

         /usr/lib/vmware-vmca/bin/certificate-manager

       • Wählen Sie Option 6 > "Replace Solution user certificates with VMCA certificates" aus.
       • Bestätigen

         "Do you wish to generate all certificates using configuration file : Option[Y/N] ?"

       • Anmeldeinformationen eingeben
       • Verweigern (geben Sie "N" ein) für die Neukonfiguration, da alle Optionen oben konfiguriert wurden

         "certool.cfg file exists, Do you wish to reconfigure : Option[Y/N] ?"

       • Bestätigen

         "You are going to regenerate Solution User Certificates using VMCA, Continue operation : Option[Y/N] ?"

       • Warten Sie, bis das Verfahren beendet ist. Dieses Verfahren:
         • Erzeugt alle Zertifikate
         • Beendet die Services
         • Starten der Services
           
       • Überprüfen , ob alle Services ausgeführt werden

         service-control --all --status

         

     • Zertifikate auf VCSA
       reparieren Beenden und starten Sie alle Services. Dies MUSS durchgeführt werden , NACHDEM alle PSC-Services ausgeführt wurden!

       • Beenden

         service-control --all --stop

       • Start

         service-control --all --start

         
       • Warten Sie, bis der Prozess ein Timeout aufweist, oder stoppen Sie ihn, wenn er den vmware-vmon-Service erreicht.

         /usr/lib/vmware-vmca/bin/certificate-manager

       • Option 8 > Alle Zertifikate zurücksetzen auswählen
       • Starten des Zertifikat-Managers
       • Bestätigen

         "Do you wish to generate all certificates using configuration file : Option[Y/N] ?"

       • Anmeldeinformationen eingeben
         
       • PSC-IP eingeben
       • Werte eingeben
         • Das Feld "IPAddress" leer lassen
         • Geben Sie den Hostnamen als FQDN der VCSA ein.
         • Das Feld VMCA-Name ist der Name der neuen Stammzertifizierungsstelle, die erstellt wird, z. B. VxRail-Zertifizierungsstelle.
       • Bestätigen

         "Continue operation : Option[Y/N] ?"

       • Bestätigen

         "Continue operation : Option[Y/N] ?"

         
       • Warten Sie, bis alle Zertifikate erzeugt wurden und eine Meldung über den erfolgreichen Abschluss angezeigt wird.

         "Reset status : 100% Completed [Reset completed successfully]"

         
          
         
       • Überprüfen Sie, ob alle Services ausgeführt werden

         service-control --all --status

         
       • Zugriff auf die vCenter-Benutzeroberfläche
       • Der Zugriff über den DNS-Eintrag (Domain Name System) schlägt in Chrome aufgrund von HTTP Strict Transport Security (HSTS) fehl. Öffnen Sie die VCSA-IP oder verwenden Sie einen anderen unterstützten Browser, z. B. FireFox.
         
         

Wenn das vCenter-Zertifikat in weniger als 60 Tagen abläuft, befolgen Sie für Szenario 2 das folgende Verfahren, um das Zertifikat im Voraus zu erneuern und zu vermeiden, dass VxRail Manager von vCenter getrennt wird.

1. Melden Sie sich über SSH als root-Nutzer bei vCenter an

2. Services neu starten

   • Ausführen Stoppen

     "service-control --stop --all"

   • Start ausführen

     "service-control --start --all"

3. Alle Zertifikate zurücksetzen

   • Führen Sie folgenden Befehl aus:

     "/usr/lib/vmware-vmca/bin/certificate-manager"

   • Option 8 > Alle Zertifikate zurücksetzen auswählen
     
   • Geben Sie den vSphere-Nutzernamen und das vSphere-Kennwort ein
     
   • Geben Sie die Zertifikateigenschaften ein
     
   • Bestätigen Sie den Vorgang und dann werden die vCenter-Root- oder Maschinenzertifikate erneuert
     

4. Folgen Sie dem Artikel Dell VxRail: Manuelles Importieren des vCenter SSL-Zertifikats auf VxRail Manager zum Importieren der aktualisierten vCenter- und CA-Zertifikate in den VxRail Manager-Vertrauensspeicher.

• Erstellen Sie IMMER Snapshots von System-VMs (PSC, VCSA und VRM), bevor Sie diesem Artikel folgen.
• Dieses Verfahren ist für PSC VCSA-VMs vorgesehen, die über VxRail LCM verwaltet werden.

• Wenn ein Benutzer Zertifikate aus seiner eigenen Infrastruktur hat, kann er diese jetzt ersetzen.
• Folgen Sie nach der Korrektur für VxRail-Version 4.7.100 und höher dem KB-Artikel Dell VxRail: Manuelles Importieren des vCenter SSL-Zertifikats auf VxRail Manager zum Importieren eines neuen Root-Zertifikats in VRM (Plug-in funktioniert nicht).