VxRail: Impossibile accedere a vCenter a causa di certificati scaduti

Summary: VxRail 7.x e 8.x: Impossibile accedere a vCenter a causa di certificati scaduti. I certificati devono essere riemessi. VxRail 7.0.480 o versioni successive: Viene visualizzato un avviso se il certificato scade in meno di 60 giorni, si consiglia di rinnovare il certificato in anticipo. Questa procedura reimposta i seguenti certificati su certificati firmati da VMCA: SSL del computer (inclusi gli ancoraggi di attendibilità SSL e le identificazioni digitali dell'estensione vCenter) Utenti della soluzione (incluse le identificazioni personali dell'estensione vCenter) Firma STS ...

This article applies to This article does not apply to This article is not tied to any specific product. Not all product versions are identified in this article.
Check out other resources

Symptoms

Scenario 1: Il certificato vCenter è già scaduto. 

  • Impossibile accedere all'interfaccia utente di vCenter.
  • Qualsiasi tentativo di accesso quando l'interfaccia utente web è disponibile non riesce anche con le credenziali corrette.
    VCSA Web Login mostra
  • Il riavvio dei servizi vCenter Server Appliance (VCSA) non riesce.
  • Il riavvio dei servizi non attiva tutti i servizi.

Errori osservati:

/var/log/vmware/vpxd-svcs/vpxd-svcs.log:
2020-06-03T09:31:04.523Z [pool-8-thread-1  INFO  com.vmware.identity.token.impl.X509TrustChainKeySelector  opId=905f6864-c067-4db6-828c-1d59c4b43bf8] Failed to find trusted path to signing certificate <CN=ssoserverSign>
sun.security.provider.certpath.SunCertPathBuilderException: unable to find valid certification path to requested target
        at sun.security.provider.certpath.SunCertPathBuilder.build(SunCertPathBuilder.java:141)

Scenario 2: Il certificato vCenter scade tra meno di 60 giorni. (per VxRail 7.0.480 e versioni successive)

  • L'accesso all'interfaccia utente di vCenter è stato completato, ma VxRail 7.0.480 e versioni successive mostrano un avviso nella pagina VxRail Cluster > Configure>VxRail>Certificate>All Trust Store Certificates in cui si afferma che il certificato scade tra meno di 60 giorni.
    Avviso di scadenza del certificato nell'interfaccia utente di vCSA

 

Cause

I certificati vCenter sono scaduti o in scadenza a breve. 
 

Resolution

In entrambi gli scenari: seguire questi passaggi utilizzando lo strumento vCert per reimpostare tutti i certificati su vCenter in certificati firmati da VMCA.

Nota: Questa procedura è destinata a singole VM PSC o VCSA gestite tramite VxRail LifeCycle Manager (LCM). Per i VCSA HA, ELM o implementati dal cliente, aprire un ticket VMware!
Nota: Acquisizione di snapshot OFFLINE di VxRail Manager (VRM) e VCSA.
Nota: Verificare che il processo di creazione della snapshot sia terminato senza errori. NON continuare senza istantanee valide!
Nota: Se si verificano problemi, non riprovare senza tornare alle snapshot.
 
  1. Scaricare lo strumento vCert da VMware: vCert - Sostituzione del certificato scaduto di vCenter con scriptQuesto link ipertestuale indirizza a un sito web esterno a Dell Technologies.
  2. Caricare il file .zip in vCenter utilizzando WinSCP o un sistema simile. In questo esempio, è stato caricato nella directory /tmp
  3. Accedere tramite SSH a vCenter utilizzando le credenziali root e decomprimere il file utilizzando il comando di estrazione (il nome del file cambierà in base alla versione): 
    cd /tmp
unzip vCert-6.0.0-20250218.zip
  4. Immettere la directory vCert e avviare lo script: 
    cd vCert-6.0.0-20250218
./vCert.py
  5. Nel menu, immettere l'opzione 6 per: Reimpostazione di tutti i certificati con certificati firmati da VMCA 
    VCF/VVF Certificate Management Utility (version 6.0.0)
-----------------------------------------------------------------
 1. Check current certificate status
 2. View certificate info
 3. Manage certificates
 4. Manage SSL trust anchors
 5. Check configurations
 6. Reset all certificates with VMCA-signed certificates
 7. ESXi certificate operations
 8. Restart services
 9. Generate certificate report
 E. Exit

Select an option [1]: 6
  6.  Le "Informazioni sulla richiesta di firma del certificato" possono essere lasciate predefinite o aggiornate con le informazioni sull'azienda e/o sull'ambiente. L'impostazione predefinita è stata lasciata predefinita in questo esempio: 
    Certificate Signing Request Information
-----------------------------------------------------------------
Enter the country code [US]:
Enter the Organization name [VMware]:
Enter the Organizational Unit name [VMware Engineering]:
Enter the state [California]:
Enter the locality (city) name [Palo Alto]:
Enter the IP address (optional):
Enter an email address (optional):
Enter any additional hostnames for SAN entries (comma separated value):
  7. Lo script reimposta i certificati di vCenter. 
  8.  Al termine, seguire Dell VxRail: Come importare manualmente il certificato SSL vCenter su VxRail Manager per importare i certificati nell'archivio dei certificati attendibili di VxRail Manager.

Additional Information

  • Eseguire SEMPRE snapshot delle VM di sistema (VCSA e VRM) prima di seguire questo articolo.
  • Questa procedura è destinata alle VM vCSA gestite tramite VxRail LCM.
    NOTA: Alcuni prodotti di terze parti devono essere registrati nuovamente o deve essere aggiunta la nuova CA radice VMCA per essere considerati affidabili (specifico del prodotto, consultare la documentazione del prodotto). Ciò poiché la comunicazione viene interrotta a causa di una modifica del certificato root o VCSA.
  • Se un utente dispone di certificati dalla propria infrastruttura, può sostituirli ora.

 

Affected Products

VxRail Appliance Family, VxRail Appliance Series, VxRail G Series Nodes, VxRail E Series Nodes, VxRail E560, VxRail E560F, VxRail E560N, VxRail E660, VxRail E660F, VxRail E660N, VxRail E665, VxRail E665F, VxRail E665N, VxRail G560F , VxRail P Series Nodes, VxRail P470, VxRail P570, VxRail P570F, VxRail P580N, VxRail P670F, VxRail P670N, VxRail P675F, VxRail P675N, VxRail S Series Nodes, VxRail S470, VxRail S570, VxRail S670, VxRail V Series Nodes, VxRail V470, VxRail V570, VxRail V570F, VXRAIL V670F, VxRail VD-4510C, VxRail VD-4520C, VxRail VE-660, VxRail VE-6615, VxRail VP-760, VxRail VP-7625, VxRail VS-760 ...
Article Properties
Article Number: 000082108
Article Type: Solution
Last Modified: 05 Sep 2025
Version:  12
Find answers to your questions from other Dell users
Support Services
Check if your device is covered by Support Services.