VxRail: Nie można zalogować się do vCenter z powodu wygaśnięcia certyfikatów

Summary: VxRail 7.x i 8.x: Nie można zalogować się do vCenter z powodu wygaśnięcia certyfikatów. Certyfikaty muszą zostać ponownie wystawione. VxRail 7.0.480 lub nowsza: A Ostrzeżenie pokazuje, że certyfikat wygasa za mniej niż 60 dni, zaleca się wcześniejsze odnowienie certyfikatu. Ta procedura resetuje następujące certyfikaty do certyfikatów podpisanych przez VMCA: Certyfikat SSL komputera (w tym kotwice zaufania SSL i odciski palców rozszerzeń vCenter) Użytkownicy rozwiązania (w tym odciski palców rozszerzeń vCenter) Podpisywanie STS ...

This article applies to This article does not apply to This article is not tied to any specific product. Not all product versions are identified in this article.
Check out other resources

Symptoms

Scenariusz 1: Certyfikat vCenter już wygasł. 

  • Nie można zalogować się do interfejsu użytkownika vCenter.
  • Każda próba zalogowania, gdy dostępny jest sieciowy interfejs użytkownika, kończy się niepowodzeniem nawet przy użyciu poprawnych poświadczeń.
    VCSA Web Login pokazuje komunikat
  • Ponowne uruchomienie usług vCenter Server Appliance (VCSA) nie powiodło się.
  • Ponowne uruchomienie usług nie powoduje wyświetlenia wszystkich usług.

Wykryte błędy:

/var/log/vmware/vpxd-svcs/vpxd-svcs.log:
2020-06-03T09:31:04.523Z [pool-8-thread-1  INFO  com.vmware.identity.token.impl.X509TrustChainKeySelector  opId=905f6864-c067-4db6-828c-1d59c4b43bf8] Failed to find trusted path to signing certificate <CN=ssoserverSign>
sun.security.provider.certpath.SunCertPathBuilderException: unable to find valid certification path to requested target
        at sun.security.provider.certpath.SunCertPathBuilder.build(SunCertPathBuilder.java:141)

Scenariusz 2: Certyfikat vCenter wygasa po mniej niż 60 dniach. (Dla VxRail 7.0.480 i nowszych wersji)

  • Logowanie do interfejsu użytkownika vCenter zostało zakończone, ale VxRail 7.0.480 i nowsze wersje wyświetlają ostrzeżenie w klastrze VxRail Strona > konfiguracji>certyfikatu>VxRail>Wszystkie certyfikaty magazynu zaufania z informacją, że certyfikat wygasa za mniej niż 60 dni.
    Ostrzeżenie o wygaśnięciu certyfikatu w interfejsie VCSA

 

Cause

Certyfikaty vCenter wygasły lub wkrótce wygasną. 
 

Resolution

W obu przypadkach wykonaj poniższe czynności, korzystając z narzędzia vCert, aby zresetować wszystkie certyfikaty w vCenter do certyfikatów podpisanych przez VMCA.

Uwaga: Ta procedura jest przeznaczona dla pojedynczych maszyn wirtualnych PSC lub VCSA, które są utrzymywane za pośrednictwem VxRail LifeCycle Manager (LCM). W przypadku systemów VCSA wdrożonych przez HA, ELM lub Klienta otwórz zgłoszenie VMware!
Uwaga: Wykonaj migawki VxRail Manager (VRM) i VCSA w trybie OFFLINE !
Uwaga: Sprawdź, czy proces tworzenia migawki zakończył się bez błędów! NIE kontynuuj bez prawidłowych migawek!
Uwaga: Jeśli wystąpią problemy, nie należy ponawiać próby bez powrotu do migawek!
 
  1. Pobierz narzędzie vCert z witryny VMware: vCert — wymiana wygasłego certyfikatu w oprogramowaniu skryptowym vCenterKliknięcie tego hiperłącza powoduje wyświetlenie strony spoza witryny Dell Technologies.
  2. Prześlij plik .zip do vCenter za pomocą WinSCP lub podobnego. W tym przykładzie przesłano go do katalogu /tmp
  3. Połącz się z vCenter przez SSH przy użyciu poświadczeń konta root i rozpakuj plik za pomocą polecenia extract (nazwa pliku zmieni się w zależności od wersji): 
    cd /tmp
unzip vCert-6.0.0-20250218.zip
  4. Wejdź do katalogu vCert i uruchom skrypt: 
    cd vCert-6.0.0-20250218
./vCert.py
  5. W menu wybierz opcję 6 dla: Resetowanie wszystkich certyfikatów przy użyciu certyfikatów podpisanych przez VMCA 
    VCF/VVF Certificate Management Utility (version 6.0.0)
-----------------------------------------------------------------
 1. Check current certificate status
 2. View certificate info
 3. Manage certificates
 4. Manage SSL trust anchors
 5. Check configurations
 6. Reset all certificates with VMCA-signed certificates
 7. ESXi certificate operations
 8. Restart services
 9. Generate certificate report
 E. Exit

Select an option [1]: 6
  6.  Pole "Certificate Signing Request Information" można pozostawić domyślne lub zaktualizować o informacje o firmie i/lub środowisku. W tym przykładzie pozostawiliśmy ustawienie domyślne: 
    Certificate Signing Request Information
-----------------------------------------------------------------
Enter the country code [US]:
Enter the Organization name [VMware]:
Enter the Organizational Unit name [VMware Engineering]:
Enter the state [California]:
Enter the locality (city) name [Palo Alto]:
Enter the IP address (optional):
Enter an email address (optional):
Enter any additional hostnames for SAN entries (comma separated value):
  7. Skrypt resetuje certyfikaty vCenter. 
  8.  Po zakończeniu postępuj zgodnie z instrukcjami Dell VxRail: Ręczne importowanie certyfikatu SSL vCenter w programie VxRail Manager w celu zaimportowania certyfikatów do magazynu zaufanych certyfikatów VxRail Manager.

Additional Information

  • ZAWSZE wykonuj migawki systemowych maszyn wirtualnych (VCSA i VRM) przed wykonaniem tego artykułu.
  • Ta procedura jest przeznaczona dla maszyn wirtualnych VCSA, które są utrzymywane przez VxRail LCM.
    UWAGA: Niektóre produkty innych firm muszą zostać ponownie zarejestrowane lub nowy główny urząd certyfikacji VMCA musi zostać dodany jako zaufany (specyficzne dla produktu — sprawdź dokumentację produktu). Dzieje się tak, ponieważ komunikacja jest zerwana z powodu zmiany certyfikatu głównego lub VCSA.
  • Jeśli użytkownik ma certyfikaty z własnej infrastruktury, może je teraz zastąpić.

 

Affected Products

VxRail Appliance Family, VxRail Appliance Series, VxRail G Series Nodes, VxRail E Series Nodes, VxRail E560, VxRail E560F, VxRail E560N, VxRail E660, VxRail E660F, VxRail E660N, VxRail E665, VxRail E665F, VxRail E665N, VxRail G560F , VxRail P Series Nodes, VxRail P470, VxRail P570, VxRail P570F, VxRail P580N, VxRail P670F, VxRail P670N, VxRail P675F, VxRail P675N, VxRail S Series Nodes, VxRail S470, VxRail S570, VxRail S670, VxRail V Series Nodes, VxRail V470, VxRail V570, VxRail V570F, VXRAIL V670F, VxRail VD-4510C, VxRail VD-4520C, VxRail VE-660, VxRail VE-6615, VxRail VP-760, VxRail VP-7625, VxRail VS-760 ...
Article Properties
Article Number: 000082108
Article Type: Solution
Last Modified: 05 Sep 2025
Version:  12
Find answers to your questions from other Dell users
Support Services
Check if your device is covered by Support Services.