VxRail: No se puede iniciar sesión en vCenter debido a certificados vencidos

Summary: VxRail 7.x y 8.x: No se puede iniciar sesión en vCenter debido a certificados vencidos. Los certificados se deben volver a emitir. VxRail 7.0.480 o superior: Se muestra una advertencia porque el certificado vence en menos de 60 días; se recomienda renovar el certificado por adelantado. Este procedimiento restablece los siguientes certificados a certificados firmados por VMCA: SSL de máquina (incluidos los anclajes de confianza SSL y las huellas digitales de la extensión de vCenter) Usuarios de la solución (incluidas las huellas digitales de la extensión de vCenter) Firma STS ...

This article applies to This article does not apply to This article is not tied to any specific product. Not all product versions are identified in this article.
Check out other resources

Symptoms

Situación 1: El certificado de vCenter ya está vencido. 

  • No se puede iniciar sesión en la interfaz de usuario de vCenter.
  • Cualquier intento de inicio de sesión cuando la interfaz de usuario web está disponible falla incluso con las credenciales correctas.
    El inicio de sesión web de VCSA muestra
  • Se produce un error al reiniciar los servicios de vCenter Server Appliance (VCSA).
  • El reinicio de los servicios no abre todos los servicios.

Errores observados:

/var/log/vmware/vpxd-svcs/vpxd-svcs.log:
2020-06-03T09:31:04.523Z [pool-8-thread-1  INFO  com.vmware.identity.token.impl.X509TrustChainKeySelector  opId=905f6864-c067-4db6-828c-1d59c4b43bf8] Failed to find trusted path to signing certificate <CN=ssoserverSign>
sun.security.provider.certpath.SunCertPathBuilderException: unable to find valid certification path to requested target
        at sun.security.provider.certpath.SunCertPathBuilder.build(SunCertPathBuilder.java:141)

Situación 2: El certificado de vCenter vence en menos de 60 días. (Para VxRail 7.0.480 y versiones superiores)

  • Se completó el inicio de sesión en la interfaz de usuario de vCenter, pero en VxRail 7.0.480 y versiones posteriores, se muestra una advertencia en la página VxRail Cluster > Configure>VxRail>Certificate>All Trust Store Certificates que indica que el certificado vence en menos de 60 días.
    Advertencia

 

Cause

Los certificados de vCenter vencieron o vencerán pronto. 
 

Resolution

En cualquiera de los casos, siga estos pasos mediante la herramienta vCert para restablecer todos los certificados en vCenter a los certificados firmados por VMCA.

Nota: Este procedimiento está diseñado para VM de PSC o VCSA únicas que se mantienen a través de VxRail LifeCycle Manager (LCM). Para HA, ELM o VCSA implementados por el cliente, abra un ticket de VMware.
Nota: ¡Tome instantáneas OFFLINE de VxRail Manager (VRM) y VCSA!
Nota: Compruebe si el proceso de creación de instantáneas finalizó sin errores. ¡NO continúe sin instantáneas válidas!
Nota: Si se encuentran problemas, no vuelva a intentarlo sin volver a las instantáneas.
 
  1. Descargue la herramienta vCert desde VMware: vCert - vCenter con scripts Expired Certificate ReplacementEste hipervínculo lo redirige a un sitio web fuera de Dell Technologies.
  2. Cargue el archivo de .zip en vCenter mediante WinSCP o similar. En este ejemplo, lo cargamos en el directorio /tmp
  3. Acceda mediante el protocolo SSH a vCenter con las credenciales raíz y descomprima el archivo mediante el comando de extracción (el nombre del archivo cambiará según la versión): 
    cd /tmp
unzip vCert-6.0.0-20250218.zip
  4. Ingrese el directorio de vCert e inicie el script: 
    cd vCert-6.0.0-20250218
./vCert.py
  5. En el menú, ingrese la opción 6 para: Restablecer todos los certificados con certificados firmados por VMCA 
    VCF/VVF Certificate Management Utility (version 6.0.0)
-----------------------------------------------------------------
 1. Check current certificate status
 2. View certificate info
 3. Manage certificates
 4. Manage SSL trust anchors
 5. Check configurations
 6. Reset all certificates with VMCA-signed certificates
 7. ESXi certificate operations
 8. Restart services
 9. Generate certificate report
 E. Exit

Select an option [1]: 6
  6.  La "Información de solicitud de firma de certificado" se puede dejar predeterminada o actualizar con información de la empresa o del entorno. Lo dejamos por defecto en este ejemplo: 
    Certificate Signing Request Information
-----------------------------------------------------------------
Enter the country code [US]:
Enter the Organization name [VMware]:
Enter the Organizational Unit name [VMware Engineering]:
Enter the state [California]:
Enter the locality (city) name [Palo Alto]:
Enter the IP address (optional):
Enter an email address (optional):
Enter any additional hostnames for SAN entries (comma separated value):
  7. El script restablece los certificados de vCenter. 
  8.  Una vez que haya finalizado, siga Dell VxRail: Cómo importar manualmente el certificado SSL de vCenter en VxRail Manager para importar los certificados al almacén de confianza de VxRail Manager.

Additional Information

  • SIEMPRE tome instantáneas de las VM del sistema (VCSA y VRM) antes de seguir este artículo.
  • Este procedimiento está destinado a las VM de VCSA que se mantienen a través de la LCM de VxRail.
    NOTA: Algunos productos de terceros se deben volver a registrar o se debe agregar la nueva CA raíz de VMCA para que sean de confianza (específico del producto: consulte la documentación del producto). Esto se debe a que la comunicación se interrumpe debido a un cambio de certificado raíz o VCSA.
  • Si un usuario tiene certificados de su propia infraestructura, ahora puede reemplazarlos.

 

Affected Products

VxRail Appliance Family, VxRail Appliance Series, VxRail G Series Nodes, VxRail E Series Nodes, VxRail E560, VxRail E560F, VxRail E560N, VxRail E660, VxRail E660F, VxRail E660N, VxRail E665, VxRail E665F, VxRail E665N, VxRail G560F , VxRail P Series Nodes, VxRail P470, VxRail P570, VxRail P570F, VxRail P580N, VxRail P670F, VxRail P670N, VxRail P675F, VxRail P675N, VxRail S Series Nodes, VxRail S470, VxRail S570, VxRail S670, VxRail V Series Nodes, VxRail V470, VxRail V570, VxRail V570F, VXRAIL V670F, VxRail VD-4510C, VxRail VD-4520C, VxRail VE-660, VxRail VE-6615, VxRail VP-760, VxRail VP-7625, VxRail VS-760 ...
Article Properties
Article Number: 000082108
Article Type: Solution
Last Modified: 05 Sep 2025
Version:  12
Find answers to your questions from other Dell users
Support Services
Check if your device is covered by Support Services.