跳至主要內容
  • 簡單快速地下訂單
  • 檢視訂單及追蹤商品運送狀態
  • 建立並存取您的產品清單

VxRail:由於憑證過期,無法登入 vCenter

摘要: VxRail 4.5 和 4.7:由於憑證過期,無法登入 vCenter。必須重新頒發證書。 VxRail 7.0.480 或更新版本:若憑證在 60 天內到期,會顯示警告,建議提前更新憑證。

本文章適用於 本文章不適用於 本文無關於任何特定產品。 本文未識別所有產品版本。

症狀

案例 1:vCenter 憑證已到期。(適用於所有 VxRail 版本)

  • 無法登入 vCenter UI。
  • 當 Web UI 可用時,即使使用正確的登入資料,任何登入嘗試都會失敗。
    嘗試登入後,VCSA Web 登入會顯示「需要使用者名稱和密碼」
  • vCenter Server Appliance (VCSA) 服務重新啟動失敗。
  • 重新啟動服務不會啟動所有服務。

 

看到的錯誤:
/var/log/vmware/vpxd-svcs/vpxd-svcs.log:
2020-06-03T09:31:04.523Z [pool-8-thread-1  INFO  com.vmware.identity.token.impl.X509TrustChainKeySelector  opId=905f6864-c067-4db6-828c-1d59c4b43bf8] Failed to find trusted path to signing certificate <CN=ssoserverSign>
sun.security.provider.certpath.SunCertPathBuilderException: unable to find valid certification path to requested target
        at sun.security.provider.certpath.SunCertPathBuilder.build(SunCertPathBuilder.java:141)

 

案例 2:vCenter 憑證將在不到 60 天後到期。(適用於 VxRail 7.0.480 及更新版本)

  • 已完成登入 vCenter UI,但 VxRail 7.0.480 及更新版本在 VxRail Cluster > 設定>「VxRail > 憑證>所有信任存放區憑證」頁面顯示警告,指出憑證將在 60 天內到期。
    VCSA UI 中的憑證即將到期警告

原因

vCenter 憑證已到期或即將到期。
最初建構於 4.7 之前的 VxRail 版本,核發的憑證壽命為自安裝之日起兩年。在撰寫本文時,以 4.7.410 為基礎的 VxRail 組建具有所有有效期為 10 年的憑證。

次要版本升級不會碰到憑證!
如果是最初建置於 4.5.210 及更新版本的 VxRail,憑證的有效期為兩年。請參閱 VMware Security Token Service (STS) 的 VMware 文章在 vCenter Server 上檢查 STS 憑證是否到期 (79248),此超連結會帶您前往 Dell Technologies 以外的網站。以確認詳細說明。

使用 VCSA 登入頁面的瀏覽器中檢視憑證,確認憑證已到期。或在平台服務控制器 (PSC) (VCSA) 的 CLI 中列出憑證。請參閱 VCSA 6.5.x、6.7.x 或 vCenter Server 7.0.x、8.0.x 中的 VMware 文章「簽署憑證無效」錯誤的命令。(76719) 此超連結會帶您前往 Dell Technologies 以外的網站。

for i in $(/usr/lib/vmware-vmafd/bin/vecs-cli store list); do echo STORE $i; /usr/lib/vmware-vmafd/bin/vecs-cli entry list --store $i --text | egrep "Alias|Not After"; done

解析度

對於案例 1,當 vCenter 憑證已過期時,請按照以下程序在 PSC 和 VCSA 上產生新的自我簽署憑證。

注意:此程序適用於透過 VxRail LifeCycle Manager (LCM) 維護的單一 PSC 或 VCSA VM。如果是 HA、ELM 或客戶部署的 VCSA,請開立 VMware 工單!
注意:拍攝 VxRail Manager (VRM)、PSC 和 VCSA 的離線 快照!
注意:檢查快照建立程序是否已完成,沒有發生錯誤!沒有有效的快照,請勿繼續!
注意:如果發生問題,請勿在未還原至快照的情況下重試!
  1. 修正 PSC:
    重設所有憑證 (這會失敗,但這是預期中的作業。)

    • 啟動憑證管理員:
      /usr/lib/vmware-vmca/bin/certificate-manager
    • 選取 選項 8 > :重設所有憑證
      • 確認
        "Do you wish to generate all certificates using configuration file : Option[Y/N] ?"
      • 輸入登入資料
        CLI 憑證管理員主功能表
      • 輸入值
        • 將「IPAddress」 欄位保留空白
        • 輸入 主機名稱 作為 PSC 的完整網域名稱 (FQDN)
        • VMware 認證機構 (VMCA) 名稱 欄位是 正在建立的新根 CA 的名稱,例如 VxRail CA。
      • 確認
        "Continue operation : Option[Y/N] ?"
      • 確認
        "Continue operation : Option[Y/N] ?"
        • 此作業失敗,並傳回:
          Get site nameCompleted [Reset Machine SSL Cert...]
          g3node-site
          Lookup all services
          Get service xxxxxx-site:xxxxxxx-d202-4d8f-9282-xxxxxx317b8f
          Update service xxxxxx-site:xxxxxxxx-d202-4d8f-9282-xxxxxx317b8f; spec: /tmp/svcspec_a1hipoqq
          
          Status : 0% Completed [Reset operation failed]
          
          please see /var/log/vmware/vmcad/certificate-manager.log for more information.
          root@xxxxc [ ~ ]#
          CLI 憑證管理員失敗
      • 修正 STS 問題
        ,在 VCSA 6.5.x、6.7.x 或 vCenter Server 7.0.x、8.0.x 中,從 VMware 文章「簽署憑證無效」錯誤下載並執行指令檔。(76719) 此超連結會帶您前往 Dell Technologies 以外的網站。
        執行指令檔的螢幕擷取畫面

        • 停止服務
          service-control --all --stop
        • 啟動服務 (這會失敗,但這是預期中的作業)
          service-control --all --start
          CLI 停止與啟動服務
        • 等待程序逾時或在到達「vmware-vmon」 服務時停止
          /usr/lib/vmware-vmca/bin/certificate-manager
        • 選取 選項 6 > 「將解決方案使用者憑證更換成 VMCA 憑證」
        • 確認
          "Do you wish to generate all certificates using configuration file : Option[Y/N] ?"
        • 輸入登入資料
        • 拒絕 (輸入「N」) 以進行重新設定,因為以上所有選項均已設定
          "certool.cfg file exists, Do you wish to reconfigure : Option[Y/N] ?"
        • 確認
          "You are going to regenerate Solution User Certificates using VMCA, Continue operation : Option[Y/N] ?"
        • 等待程序結束。此程序:
          • 產生所有憑證
          • 停止服務
          • 啟動服務
            CLI 憑證管理員成功。
        • 確認 是否所有 服務 都在執行中
          service-control --all --status
          檢查所有服務的狀態。
      • 修正 VCSA
        上的憑證 停止並啟動所有服務。這 必須在 所有 PSC 服務執行 完成!

        • 停止
          service-control --all --stop
        • 開始
          service-control --all --start
          啟動和停止服務。
        • 等待程序逾時,或在到達 vmware-vmon 服務時停止
          /usr/lib/vmware-vmca/bin/certificate-manager
        • 選取 選項 8 > :重設所有憑證
        • 啟動憑證管理員
        • 確認
          "Do you wish to generate all certificates using configuration file : Option[Y/N] ?"
        • 輸入登入資料
          CLI 憑證管理員輸入登入資料
        • 輸入 PSC IP
        • 輸入值
          • 將 IPAddress 欄位留空
          • 輸入 主機名稱 作為 VCSA 的 FQDN
          • VMCA 名稱 欄位是 正在建立的新根 CA 的名稱,例如 VxRail CA。
        • 確認
          "Continue operation : Option[Y/N] ?"
        • 確認
          "Continue operation : Option[Y/N] ?"
          CLI 憑證管理員輸入環境資訊
        • 等待所有憑證產生,並出現成功完成訊息
          "Reset status : 100% Completed [Reset completed successfully]"
          憑證更換已開始
           
          已成功完成憑證更換。
        • 檢查所有服務是否正在執行中
          service-control --all --status
          所有服務均處於執行狀態
        • 存取 vCenter UI
        • 由於 HTTP 嚴格傳輸安全性 (HSTS),Chrome 中的網域名稱系統 (DNS) 存取項目失敗。開啟 VCSA IP 或使用其他支援的瀏覽器,例如 FireFox。
          憑證警告
          由於需要通過IP進行HSTS訪問

 

對於狀況 2,當 vCenter 憑證在 60 天內到期時,請按照以下程序提前更新憑證,以避免 VxRail Manager 與 vCenter 中斷連線。

  1. 以 root 使用者身分,透過 SSH 登入 vCenter

  2. 重新啟動服務

    • 執行 停止
      "service-control --stop --all"
    • 執行 「開始」
      "service-control --start --all"
  3. 重設所有憑證

    • 執行:
      "/usr/lib/vmware-vmca/bin/certificate-manager"
    • 選取 選項 8 > :重設所有憑證
      重設所有憑證 (選項 8)
    • 輸入 vSphere 使用者名稱和密碼
      輸入 vSphere 使用者與密碼
    • 輸入憑證屬性
      CLI 憑證管理員,輸入資訊
    • 確認 操作,然後更新 vCenter 根或機器 憑證
      確認憑證已續訂
  4. 請參考文章 Dell VxRail:如何在 VxRail Manager 上手動匯入 vCenter SSL 憑證 ,以將更新的 vCenter 和 CA 憑證匯入 VxRail Manager 信任存放區。

其他資訊

  • 在遵循本文之前,請務必先拍攝系統 VM (PSC、VCSA 和 VRM) 的快照。
  • 此程序適用於透過 VxRail LCM 維護的 PSC VCSA VM。
注意:必須重新註冊某些第三方產品,或新增新的 VMCA 根 CA 才能信任 (產品專屬 - 請查看產品說明文件)。這是因為通訊因根或 VCSA 憑證變更而中斷。

受影響的產品

VxRail Appliance Family, VxRail Appliance Series
文章屬性
文章編號: 000082108
文章類型: Solution
上次修改時間: 21 9月 2024
版本:  9
向其他 Dell 使用者尋求您問題的答案
支援服務
檢查您的裝置是否在支援服務的涵蓋範圍內。