VxRail: Kan niet aanmelden bij vCenter vanwege verlopen certificaten

Summary: VxRail 7.x en 8.x: Kan niet aanmelden bij vCenter vanwege verlopen certificaten. Certificaten moeten opnieuw worden uitgegeven. VxRail 7.0.480 of hoger: Er wordt een waarschuwing weergegeven als het certificaat over minder dan 60 dagen verloopt. Het wordt aanbevolen het certificaat van tevoren te vernieuwen. Met deze procedure worden de volgende certificaten opnieuw ingesteld op VMCA-ondertekende certificaten: Machine SSL (inclusief SSL Trust Anchors en vingerafdrukken voor vCenter-extensies) Gebruikers van oplossing (inclusief vingerafdrukken van vCenter-extensies) STS Signing ...

This article applies to This article does not apply to This article is not tied to any specific product. Not all product versions are identified in this article.
Check out other resources

Symptoms

Scenario 1: Het vCenter-certificaat is al verlopen. 

  • Kan niet aanmelden bij de vCenter-interface.
  • Elke aanmeldingspoging wanneer de webinterface beschikbaar is, mislukt zelfs met de juiste referenties.
    VCSA-webaanmelding geeft
  • Het opnieuw opstarten van vCenter Server Appliance-services (VCSA) mislukt.
  • Bij het opnieuw opstarten van services worden niet alle services weergegeven.

Waargenomen fouten:

/var/log/vmware/vpxd-svcs/vpxd-svcs.log:
2020-06-03T09:31:04.523Z [pool-8-thread-1  INFO  com.vmware.identity.token.impl.X509TrustChainKeySelector  opId=905f6864-c067-4db6-828c-1d59c4b43bf8] Failed to find trusted path to signing certificate <CN=ssoserverSign>
sun.security.provider.certpath.SunCertPathBuilderException: unable to find valid certification path to requested target
        at sun.security.provider.certpath.SunCertPathBuilder.build(SunCertPathBuilder.java:141)

Scenario 2: Het vCenter-certificaat verloopt in minder dan 60 dagen. (Voor VxRail 7.0.480 en hogere versies)

  • Het aanmelden bij de vCenter-gebruikersinterface is voltooid, maar VxRail 7.0.480 en latere versies geven een waarschuwing weer op de pagina VxRail cluster > VxRail>>Certificate>configureren Alle Trust Store Certificates pagina met de melding dat het certificaat over minder dan 60 dagen verloopt.
    Waarschuwing voor certificaat verloopt in VCSA-gebruikersinterface

 

Cause

vCenter-certificaten zijn verlopen of verlopen binnenkort. 
 

Resolution

Voor beide scenario's: Volg deze stappen met behulp van de vCert-tool om alle certificaten op vCenter-certificaten opnieuw in te stellen naar VMCA-ondertekende certificaten.

Opmerking: Deze procedure is bedoeld voor enkelvoudige PSC- of VCSA-VM's die worden onderhouden via VxRail LifeCycle Manager (LCM). Open een VMware-ticket voor HA, ELM of door de klant geïmplementeerde VCSA's!
Opmerking: Maak OFFLINE snapshots van VxRail Manager (VRM) en VCSA!
Opmerking: Controleer of het proces voor het maken van snapshots foutloos is verlopen! Ga NIET verder zonder geldige snapshots!
Opmerking: Als er problemen worden aangetroffen, probeer het dan niet opnieuw zonder terug te keren naar snapshots!
 
  1. Download de vCert tool van VMware: vCert - Scripted vCenter Expired Certificate ReplacementDeze hyperlink leidt u naar een website buiten Dell Technologies.
  2. Upload het .zip bestand naar vCenter met WinSCP of iets dergelijks. In dit voorbeeld hebben we het geüpload naar de /tmp-directory
  3. Ga met SSH naar vCenter met behulp van rootreferenties en pak het bestand uit met de opdracht extract (de bestandsnaam verandert op basis van de versie): 
    cd /tmp
unzip vCert-6.0.0-20250218.zip
  4. Voer de vCert-directory in en start het script: 
    cd vCert-6.0.0-20250218
./vCert.py
  5. Voer in het menu optie 6 in voor: Alle certificaten opnieuw instellen met VMCA-ondertekende certificaten 
    VCF/VVF Certificate Management Utility (version 6.0.0)
-----------------------------------------------------------------
 1. Check current certificate status
 2. View certificate info
 3. Manage certificates
 4. Manage SSL trust anchors
 5. Check configurations
 6. Reset all certificates with VMCA-signed certificates
 7. ESXi certificate operations
 8. Restart services
 9. Generate certificate report
 E. Exit

Select an option [1]: 6
  6.  De "Certificate Signing Request Information" kan standaard worden gelaten of worden bijgewerkt met bedrijfs- en/of omgevingsinformatie. We hebben het standaard gelaten in dit voorbeeld: 
    Certificate Signing Request Information
-----------------------------------------------------------------
Enter the country code [US]:
Enter the Organization name [VMware]:
Enter the Organizational Unit name [VMware Engineering]:
Enter the state [California]:
Enter the locality (city) name [Palo Alto]:
Enter the IP address (optional):
Enter an email address (optional):
Enter any additional hostnames for SAN entries (comma separated value):
  7. Het script stelt de vCenter-certificaten opnieuw in. 
  8.  Volg na voltooiing de Dell VxRail: Het vCenter SSL-certificaat handmatig importeren in VxRail Manager om de certificaten te importeren in het vertrouwensarchief van VxRail Manager.

Additional Information

  • Maak ALTIJD snapshots van systeem-VM's (VCSA en VRM) voordat u dit artikel volgt.
  • Deze procedure is bedoeld voor VCSA VM's die worden onderhouden via VxRail LCM.
    OPMERKING: Sommige producten van derden moeten opnieuw worden geregistreerd of de nieuwe VMCA-basis-CA moet worden toegevoegd om betrouwbaar te zijn (productspecifiek - controleer de productdocumentatie). Dit omdat de communicatie is verbroken vanwege een wijziging van het root- of VCSA-certificaat.
  • Als een gebruiker certificaten van zijn eigen infrastructuur heeft, kan hij deze nu vervangen.

 

Affected Products

VxRail Appliance Family, VxRail Appliance Series, VxRail G Series Nodes, VxRail E Series Nodes, VxRail E560, VxRail E560F, VxRail E560N, VxRail E660, VxRail E660F, VxRail E660N, VxRail E665, VxRail E665F, VxRail E665N, VxRail G560F , VxRail P Series Nodes, VxRail P470, VxRail P570, VxRail P570F, VxRail P580N, VxRail P670F, VxRail P670N, VxRail P675F, VxRail P675N, VxRail S Series Nodes, VxRail S470, VxRail S570, VxRail S670, VxRail V Series Nodes, VxRail V470, VxRail V570, VxRail V570F, VXRAIL V670F, VxRail VD-4510C, VxRail VD-4520C, VxRail VE-660, VxRail VE-6615, VxRail VP-760, VxRail VP-7625, VxRail VS-760 ...
Article Properties
Article Number: 000082108
Article Type: Solution
Last Modified: 05 Sep 2025
Version:  12
Find answers to your questions from other Dell users
Support Services
Check if your device is covered by Support Services.