Skip to main content
  • Place orders quickly and easily
  • View orders and track your shipping status
  • Create and access a list of your products

VxRail: Süresi dolan sertifikalar nedeniyle vCenter'da oturum açılamıyor

Summary: VxRail 4.5 ve 4.7: Süresi dolan sertifikalar nedeniyle vCenter'da oturum açılamıyor. Sertifikaların yeniden düzenlenmesi gerekir. VxRail 7.0.480 veya sonraki sürümler: Sertifikanın süresi 60 günden az süre dolduğunda bir uyarı gösterilir, sertifikayı önceden yenilemenizi öneririz. ...

This article applies to This article does not apply to This article is not tied to any specific product. Not all product versions are identified in this article.

Symptoms

1. Senaryo: vCenter sertifikasının süresi zaten doldu. (Tüm VxRail sürümleri için)

  • vCenter kullanıcı arayüzünde oturum açılamıyor.
  • Web kullanıcı arayüzü kullanılabilir durumdayken yapılan herhangi bir oturum açma girişimi, doğru kimlik bilgileriyle bile başarısız olur.
    VCSA Web Oturumu, oturum açmayı denedikten sonra
  • vCenter Server Appliance (VCSA) hizmetlerinin yeniden başlatılması başarısız oluyor.
  • Hizmetlerin yeniden başlatılması tüm hizmetleri getirmez.

 

Gözlemlenen hatalar:
/var/log/vmware/vpxd-svcs/vpxd-svcs.log:
2020-06-03T09:31:04.523Z [pool-8-thread-1  INFO  com.vmware.identity.token.impl.X509TrustChainKeySelector  opId=905f6864-c067-4db6-828c-1d59c4b43bf8] Failed to find trusted path to signing certificate <CN=ssoserverSign>
sun.security.provider.certpath.SunCertPathBuilderException: unable to find valid certification path to requested target
        at sun.security.provider.certpath.SunCertPathBuilder.build(SunCertPathBuilder.java:141)

 

2. Senaryo: vCenter sertifikasının süresi 60 günden kısa bir süre içinde dolar. (VxRail 7.0.480 ve üzeri sürümler için)

  • vCenter kullanıcı arayüzünde oturum açma işlemi tamamlandı ancak VxRail 7.0.480 ve sonraki sürümler, VxRail Cluster > VxRail >> Certificate All >Trust Store Certificates sayfasında sertifikanın süresinin 60 günden kısa bir süre içinde dolacağını belirten bir uyarı gösteriyor.
    VCSA kullanıcı arayüzünde sertifikanın süresi dolacak uyarısı

Cause

vCenter sertifikalarının süresi doldu veya yakında dolacak.
Başlangıçta 4.7'den önce üretilen VxRail sürümleri, kurulum tarihinden itibaren iki yıllık kullanım ömrüne sahip sertifikalara sahip olabilir. Bu makalenin yazıldığı sırada, 4.7.410 üzerine kurulu bir VxRail, 10 yıllık kullanım ömrüne sahip tüm sertifikalara sahiptir.

İkincil sürüm yükseltmeleri sertifikalara dokunmaz!
Başlangıçta 4.5.210 ve sonraki sürümlerinde oluşturulan VxRail için sertifikaların iki yıllık bir geçerlilik süresi vardır. Ayrıntılı açıklamayı onaylamak üzere VMware Security Token Service (STS) ile ilgili vCenter Sunucularında STS Sertifikasının Süresinin Dolduğunu Kontrol Etme (79248)Bu köprü bağlantı sizi Dell Technologies dışındaki bir web sitesine yönlendirir. başlıklı VMware makalesine bakın.

Sertifikanın süresinin dolduğunu onaylamak için VCSA'nın oturum açma sayfasındaki tarayıcıda sertifikayı görüntüle seçeneğini kullanın. Alternatif olarak, Platform Services Controller'ın (PSC) (VCSA) CLI sindeki sertifikaları listeleyebilirsiniz. VCSA 6.5.x, 6.7.x veya vCenter Server 7.0.x, 8.0.x'te "İmzalama sertifikası geçerli değil" hatası VMware makalesindeki komutlara bakın. (76719) Bu köprü bağlantı sizi Dell Technologies dışındaki bir web sitesine yönlendirir.

for i in $(/usr/lib/vmware-vmafd/bin/vecs-cli store list); do echo STORE $i; /usr/lib/vmware-vmafd/bin/vecs-cli entry list --store $i --text | egrep "Alias|Not After"; done

Resolution

1. Senaryoda, vCenter sertifikasının süresi dolmuşsa PSC ve VCSA'da kendinden imzalı yeni sertifikalar oluşturmak için aşağıdaki prosedürü izleyin.

Not: Bu prosedür, VxRail LifeCycle Manager (LCM) aracılığıyla bakımı yapılan tek PSC veya VCSA sanal makineleri için tasarlanmıştır. HA, ELM veya Müşteri tarafından dağıtılan VCSA'lar için bir VMware bileti açın!
Not: VxRail Manager (VRM), PSC ve VCSA'nın ÇEVRİMDIŞI anlık görüntülerini alın!
Not: Anlık görüntü oluşturma işleminin hatasız tamamlanıp tamamlanmadığını kontrol edin! Geçerli anlık görüntüler olmadan devam ETMEYİN!
Not: Sorunlarla karşılaşılırsa, anlık görüntülere geri dönmeden yeniden denemeyin!
  1. PSC'yi Düzeltin:
    Tüm Sertifikaları Sıfırla (Bu işlem başarısız olur ancak bu beklenen bir işlemdir.)

    • Sertifika Yöneticisini başlatın:
      /usr/lib/vmware-vmca/bin/certificate-manager
    • 8. Seçeneği belirleyin: Tüm sertifikaları sıfırla >
      • Confirm (Onayla)
        "Do you wish to generate all certificates using configuration file : Option[Y/N] ?"
      • Kimlik Bilgilerini Girme
        CLI sertifika yöneticisi ana menüsü
      • Değerleri girin
        • IPAddress" alanını boş bırakın
        • Ana bilgisayar adını PSC'nin Tam Nitelikli Etki Alanı Adı (FQDN) olarak girin
        • VMware Sertifika Yetkilisi (VMCA) Name alanı, oluşturulmakta olan yeni bir kök CA'nın adıdır, örneğin, VxRail CA'sı.
      • Confirm (Onayla)
        "Continue operation : Option[Y/N] ?"
      • Confirm (Onayla)
        "Continue operation : Option[Y/N] ?"
        • Bu işlem aşağıdakilerle başarısız olur:
          Get site nameCompleted [Reset Machine SSL Cert...]
          g3node-site
          Lookup all services
          Get service xxxxxx-site:xxxxxxx-d202-4d8f-9282-xxxxxx317b8f
          Update service xxxxxx-site:xxxxxxxx-d202-4d8f-9282-xxxxxx317b8f; spec: /tmp/svcspec_a1hipoqq
          
          Status : 0% Completed [Reset operation failed]
          
          please see /var/log/vmware/vmcad/certificate-manager.log for more information.
          root@xxxxc [ ~ ]#
          CLI sertifika yöneticisi başarısız oluyor
      • STS sorununu
        düzeltme VCSA 6.5.x, 6.7.x veya vCenter Server 7.0.x, 8.0.x'te "İmzalama sertifikası geçerli değil" hatası başlıklı VMware makalesinden komut dosyasını indirin ve çalıştırın. (76719) Bu köprü bağlantı sizi Dell Technologies dışındaki bir web sitesine yönlendirir.
        Komut dosyasını çalıştırma ekran görüntüsü

        • Hizmetleri Durdurma
          service-control --all --stop
        • Hizmetleri Başlatma (Bu işlem başarısız olur ancak beklenen bir işlemdir)
          service-control --all --start
          CLI durdurma ve başlatma hizmetleri
        • İşlemin zaman aşımına uğramasını veya "vmware-vmon" hizmetine geldiğinde durdurulmasını bekleyin
          /usr/lib/vmware-vmca/bin/certificate-manager
        • 6 > . Seçeneği belirleyin "Çözüm kullanıcı sertifikalarını VMCA sertifikalarıyla değiştirme"
        • Confirm (Onayla)
          "Do you wish to generate all certificates using configuration file : Option[Y/N] ?"
        • Kimlik Bilgilerini Girme
        • Tüm seçenekler yukarıda yapılandırıldığından yeniden yapılandırma için reddedin ("N" girin)
          "certool.cfg file exists, Do you wish to reconfigure : Option[Y/N] ?"
        • Confirm (Onayla)
          "You are going to regenerate Solution User Certificates using VMCA, Continue operation : Option[Y/N] ?"
        • Prosedürden çıkılana kadar bekleyin. Bu prosedür:
          • Tüm sertifikaları oluşturur
          • Hizmetleri durdurur
          • Hizmetleri başlatır
            CLI sertifika yöneticisi başarılı.
        • Tüm Hizmetlerin çalışıp çalışmadığını onaylayın
          service-control --all --status
          Tüm hizmetlerin durumunu kontrol edin.
      • VCSA'da
        Sertifikaları Düzeltin Tüm hizmetleri durdurun ve başlatın. Bu, tüm PSC hizmetleri çalıştıktan SONRA yapılmalıdır!

        • Durdur
          service-control --all --stop
        • Başlat
          service-control --all --start
          Hizmetleri başlatma ve durdurma.
        • İşlemin zaman aşımına uğramasını veya vmware-vmon hizmetine geldiğinde durdurulmasını bekleyin
          /usr/lib/vmware-vmca/bin/certificate-manager
        • 8. Seçeneği belirleyin: Tüm sertifikaları sıfırla >
        • Sertifika Yöneticisini Başlat
        • Confirm (Onayla)
          "Do you wish to generate all certificates using configuration file : Option[Y/N] ?"
        • Kimlik Bilgilerini Girme
          CLI sertifika yöneticisi kimlik bilgilerini girme
        • PSC IP'sini girin
        • Değerleri girin
          • IPAddress alanını boş bırakın
          • Ana bilgisayar adını VCSA'nın FQDN'si olarak girin
          • VMCA Name alanı, oluşturulmakta olan yeni kök CA'nın adıdır, örneğin, VxRail CA.
        • Confirm (Onayla)
          "Continue operation : Option[Y/N] ?"
        • Confirm (Onayla)
          "Continue operation : Option[Y/N] ?"
          CLI sertifika yöneticisi ortam bilgilerini girme
        • Tüm sertifikalar oluşturulana ve işlemin başarıyla tamamlandığını belirten bir mesaj gösterilene kadar bekleyin
          "Reset status : 100% Completed [Reset completed successfully]"
          Sertifika değişimi başladı
           
          Sertifika değişimi başarıyla tamamlandı.
        • Tüm hizmetlerin çalışıp çalışmadığını kontrol edin
          service-control --all --status
          Çalışır durumdaki tüm hizmetler
        • vCenter kullanıcı arayüzüne erişme
        • Alan Adı Sistemine (DNS) göre erişim, HTTP Sıkı Aktarım Güvenliği (HSTS) nedeniyle Chrome'da başarısız oluyor. VCSA IP'sini açın veya FireFox gibi desteklenen başka bir tarayıcı kullanın.
          Sertifika uyarısı
          HSTS nedeniyle IP üzerinden erişim gereklidir

 

2. Senaryoda, vCenter sertifikasının süresi 60 günden az bir süre içinde dolduğunda VxRail yöneticisinin vCenter ile bağlantısını kesmek için aşağıdaki prosedürü izleyerek sertifikayı önceden yenileyebilirsiniz.

  1. Kök kullanıcı olarak SSH üzerinden vCenter'da oturum açın

  2. Hizmetleri Yeniden Başlatma

    • Run Stop
      "service-control --stop --all"
    • Çalıştır Başlat
      "service-control --start --all"
  3. Tüm Sertifikaları Sıfırla

    • Şu komutu çalıştırın:
      "/usr/lib/vmware-vmca/bin/certificate-manager"
    • 8. Seçeneği belirleyin: Tüm sertifikaları sıfırla >
      Tüm sertifikaları sıfırlama (Seçenek 8)
    • vSphere kullanıcı adı ve parolasını girin
      vSphere kullanıcı ve parolasını girin
    • Sertifika özelliklerini girin
      CLI sertifika yöneticisi, bilgileri girin
    • İşlemi onaylayın , ardından vCenter kök veya makine Sertifikaları yenilenir
      Sertifikaların yenilendiğini onaylayın
  4. Dell VxRail: Güncelleştirilmiş vCenter ve CA sertifikalarını VxRail Manager güven deposuna aktarmak için VxRail Manager'da manuel olarak vCenter SSL sertifikasını içe aktarma .

Additional Information

  • Bu makaleyi izlemeden önce DAİMA Sistem Sanal Makinelerinin (PSC, VCSA ve VRM) anlık görüntülerini alın.
  • Bu prosedür, VxRail LCM aracılığıyla bakımı yapılan PSC VCSA VM'leri için tasarlanmıştır.
NOT: Bazı üçüncü parti ürünleri yeniden kaydedilmelidir veya güvenilir olmak için yeni VMCA Kök CA'sı eklenmelidir (ürüne özel - ürün belgelerini kontrol edin). Bu, Kök veya VCSA sertifika değişikliği nedeniyle iletişimin kesilmesinden kaynaklanır.

Affected Products

VxRail Appliance Family, VxRail Appliance Series
Article Properties
Article Number: 000082108
Article Type: Solution
Last Modified: 21 Sept 2024
Version:  9
Find answers to your questions from other Dell users
Support Services
Check if your device is covered by Support Services.