VxRail: Kunne ikke logge på vCenter pga. udløbne certifikater
Summary: VxRail 7.x og 8.x: Kunne ikke logge på vCenter pga. udløbne certifikater. Certifikaterne skal genudstedes. VxRail 7.0.480 eller nyere: Der vises en advarsel om, at certifikatet udløber om mindre end 60 dage, anbefales at forny certifikatet på forhånd. Denne procedure nulstiller følgende certifikater til VMCA-signerede certifikater: Maskinens SSL (herunder SSL Trust Anchors og vCenter-udvidelsesaftryk) Løsningsbrugere (herunder vCenter-udvidelsesaftryk) STS-signering ...
This article applies to
This article does not apply to
This article is not tied to any specific product.
Not all product versions are identified in this article.
Symptoms
Scenarie 1: vCenter-certifikatet er allerede udløbet.
- Kunne ikke logge på vCenter UI.
- Ethvert logonforsøg, når webbrugergrænsefladen er tilgængelig, mislykkes, selv med korrekte legitimationsoplysninger.
- Genstart af VCSA-tjenester (vCenter Server Appliance) mislykkes.
- Genstart af tjenester bringer ikke alle tjenester op.
Konstaterede fejl:
/var/log/vmware/vpxd-svcs/vpxd-svcs.log: 2020-06-03T09:31:04.523Z [pool-8-thread-1 INFO com.vmware.identity.token.impl.X509TrustChainKeySelector opId=905f6864-c067-4db6-828c-1d59c4b43bf8] Failed to find trusted path to signing certificate <CN=ssoserverSign> sun.security.provider.certpath.SunCertPathBuilderException: unable to find valid certification path to requested target at sun.security.provider.certpath.SunCertPathBuilder.build(SunCertPathBuilder.java:141)
Scenarie 2: vCenter-certifikatet udløber om mindre end 60 dage. (For VxRail 7.0.480 og nyere versioner)
- Log på vCenter Brugergrænsefladen er fuldført, men VxRail 7.0.480 og nyere versioner viser en advarsel på siden Konfigurer VxRail-klyngekonfiguration>> af VxRail-certifikat >>Alle tillidslagercertifikater, der angiver, at certifikatet udløber om mindre end 60 dage.
Cause
vCenter-certifikater udløber eller udløber snart.
Resolution
For begge scenarier Følg disse trin ved hjælp af vCert-værktøjet for at nulstille alle certifikater i vCenter til VMCA-signerede certifikater.
Bemærk: Denne procedure er beregnet til enkelte PSC- eller VCSA-VM'er, der vedligeholdes via VxRail LifeCycle Manager (LCM). For HA-, ELM- eller kundeimplementerede VCSA'er skal du åbne en VMware-billet!
Bemærk: Tag OFFLINE snapshots af VxRail Manager (VRM) og VCSA!
Bemærk: Kontroller, om processen til oprettelse af snapshot er afsluttet uden fejl! Fortsæt IKKE uden gyldige snapshots!
Bemærk: Hvis der opstår problemer, skal du ikke prøve igen uden at vende tilbage til snapshots!
- Download vCert-værktøjet fra VMware: vCert – Scriptet vCenter – Udskiftning af udløbet certifikat
- Upload den .zip fil til vCenter ved hjælp af WinSCP eller lignende. I dette eksempel uploadede vi den til mappen /tmp
- SSH til vCenter ved hjælp af rodlegitimationsoplysninger, og pak filen ud ved hjælp af udpakningskommandoen (filnavnet ændres baseret på versionen):
cd /tmp unzip vCert-6.0.0-20250218.zip - Gå ind i vCert-biblioteket, og start scriptet:
cd vCert-6.0.0-20250218 ./vCert.py - Indtast mulighed 6 i menuen for: Nulstil alle certifikater med VMCA-signerede certifikater
VCF/VVF Certificate Management Utility (version 6.0.0) ----------------------------------------------------------------- 1. Check current certificate status 2. View certificate info 3. Manage certificates 4. Manage SSL trust anchors 5. Check configurations 6. Reset all certificates with VMCA-signed certificates 7. ESXi certificate operations 8. Restart services 9. Generate certificate report E. Exit Select an option [1]: 6 - "Oplysninger om anmodning om signering af certifikat" kan efterlades som standard eller opdateres med virksomheds- og/eller miljøoplysninger. Vi lod det være standard i dette eksempel:
Certificate Signing Request Information ----------------------------------------------------------------- Enter the country code [US]: Enter the Organization name [VMware]: Enter the Organizational Unit name [VMware Engineering]: Enter the state [California]: Enter the locality (city) name [Palo Alto]: Enter the IP address (optional): Enter an email address (optional): Enter any additional hostnames for SAN entries (comma separated value): - Scriptet nulstiller vCenter-certifikaterne.
- Når du er færdig, skal du følge Dell VxRail: Sådan importeres vCenter SSL-certifikat manuelt på VxRail Manager for at importere certifikaterne til VxRail Manager-tillidslageret.
Additional Information
- Tag ALTID snapshots af System VMs (VCSA og VRM), før du følger denne artikel.
- Denne procedure er beregnet til VCSA-VM'er, der vedligeholdes via VxRail LCM.
BEMÆRK: Nogle tredjepartsprodukter skal registreres igen, eller der skal tilføjes et nyt VMCA-rodnøglecenter (produktspecifik – se produktdokumentationen). Dette som kommunikation er brudt på grund af rod- eller VCSA-certifikatændring.
- Hvis en bruger har certifikater fra sin egen infrastruktur, kan vedkommende erstatte dem nu.
Affected Products
VxRail Appliance Family, VxRail Appliance Series, VxRail G Series Nodes, VxRail E Series Nodes, VxRail E560, VxRail E560F, VxRail E560N, VxRail E660, VxRail E660F, VxRail E660N, VxRail E665, VxRail E665F, VxRail E665N, VxRail G560F
, VxRail P Series Nodes, VxRail P470, VxRail P570, VxRail P570F, VxRail P580N, VxRail P670F, VxRail P670N, VxRail P675F, VxRail P675N, VxRail S Series Nodes, VxRail S470, VxRail S570, VxRail S670, VxRail V Series Nodes, VxRail V470, VxRail V570, VxRail V570F, VXRAIL V670F, VxRail VD-4510C, VxRail VD-4520C, VxRail VE-660, VxRail VE-6615, VxRail VP-760, VxRail VP-7625, VxRail VS-760
...
Article Properties
Article Number: 000082108
Article Type: Solution
Last Modified: 05 Sep 2025
Version: 12
Find answers to your questions from other Dell users
Support Services
Check if your device is covered by Support Services.