VxRail. Не удается войти в vCenter из-за истечения срока действия сертификатов

Summary: VxRail 7.x и 8.x. Не удается войти в vCenter из-за истечения срока действия сертификатов. Сертификаты необходимо выпускать повторно. VxRail 7.0.480 или более поздней версии: Отображается предупреждение о том, что срок действия сертификата истекает менее чем через 60 дней. Рекомендуется продлить сертификат заранее. Эта процедура сбрасывает следующие сертификаты до сертификатов, подписанных VMCA: Machine SSL (включая доверенные якоря SSL и отпечатки расширений vCenter) Пользователи решений (включая отпечатки расширений vCenter) Подпись STS ...

This article applies to This article does not apply to This article is not tied to any specific product. Not all product versions are identified in this article.
Check out other resources

Symptoms

Сценарий 1. Срок действия сертификата vCenter уже истек. 

  • Не удается войти в пользовательский интерфейс vCenter.
  • Любая попытка входа при доступном веб-интерфейсе завершается сбоем даже при наличии правильных учетных данных.
    Веб-вход в VCSA отображает сообщение «имя пользователя и пароль необходимы» после попытки входа
  • Сбой перезапуска служб vCenter Server Appliance (VCSA).
  • Перезапуск служб приводит не ко всем службам.

Обнаруженные ошибки:

/var/log/vmware/vpxd-svcs/vpxd-svcs.log:
2020-06-03T09:31:04.523Z [pool-8-thread-1  INFO  com.vmware.identity.token.impl.X509TrustChainKeySelector  opId=905f6864-c067-4db6-828c-1d59c4b43bf8] Failed to find trusted path to signing certificate <CN=ssoserverSign>
sun.security.provider.certpath.SunCertPathBuilderException: unable to find valid certification path to requested target
        at sun.security.provider.certpath.SunCertPathBuilder.build(SunCertPathBuilder.java:141)

Сценарий 2. Срок действия сертификата vCenter истекает менее чем через 60 дней. (Для VxRail 7.0.480 и более поздних версий)

  • Вход в пользовательский интерфейс vCenter завершен, но в VxRail 7.0.480 и более поздних версий отображается предупреждение в кластере VxRail Настройка>>сертификата>VxRail>На странице «All Trust Store Certificates» указывается, что срок действия сертификата истекает менее чем через 60 дней.
    Предупреждение об истечении срока действия сертификата в пользовательском интерфейсе VCSA

 

Cause

Срок действия сертификатов vCenter истек или скоро истечет. 
 

Resolution

В любом из сценариев выполните следующие действия с помощью инструмента vCert, чтобы сбросить все сертификаты в vCenter до сертификатов, подписанных VMCA.

Примечание. Эта процедура предназначена для отдельных виртуальных машин PSC или VCSA, которые обслуживаются с помощью VxRail LifeCycle Manager (LCM). Для HA, ELM или VCSA, развернутой заказчиком, откройте заявку VMware!
Примечание. Создавайте АВТОНОМНЫЕ снимки VxRail Manager (VRM) и VCSA!
Примечание. Убедитесь, что процесс создания снимка завершился без ошибок! НЕ продолжайте без действительных моментальных снимков!
Примечание. Если возникли проблемы, не повторяйте попытку, не вернувшись к моментальным снимкам!
 
  1. Скачайте инструмент vCert с веб-сайта VMware: vCert — замена сертификата с истекшим сроком действия vCenter с истекшим сроком действия сценарияЭта гиперссылка позволяет перейти на сайт за пределами Dell Technologies.
  2. Загрузите файл .zip в vCenter с помощью WinSCP или аналогичного способа. В этом примере мы загрузили его в каталог /tmp
  3. Подключитесь по SSH к vCenter, используя учетные данные root, и распакуйте файл с помощью команды extract (имя файла будет меняться в зависимости от версии): 
    cd /tmp
unzip vCert-6.0.0-20250218.zip
  4. Войдите в каталог vCert и запустите сценарий: 
    cd vCert-6.0.0-20250218
./vCert.py
  5. В меню введите параметр 6 для: Сбросить все сертификаты, подписанные VMCA 
    VCF/VVF Certificate Management Utility (version 6.0.0)
-----------------------------------------------------------------
 1. Check current certificate status
 2. View certificate info
 3. Manage certificates
 4. Manage SSL trust anchors
 5. Check configurations
 6. Reset all certificates with VMCA-signed certificates
 7. ESXi certificate operations
 8. Restart services
 9. Generate certificate report
 E. Exit

Select an option [1]: 6
  6.  Поле «Certificate Signing Request Information» можно оставить по умолчанию или добавить в него информацию о компании и/или среде. В этом примере мы оставили значение по умолчанию: 
    Certificate Signing Request Information
-----------------------------------------------------------------
Enter the country code [US]:
Enter the Organization name [VMware]:
Enter the Organizational Unit name [VMware Engineering]:
Enter the state [California]:
Enter the locality (city) name [Palo Alto]:
Enter the IP address (optional):
Enter an email address (optional):
Enter any additional hostnames for SAN entries (comma separated value):
  7. Сценарий сбрасывает сертификаты vCenter. 
  8.  После завершения следуйте инструкциям Dell VxRail: Импорт SSL-сертификата vCenter в VxRail Manager вручную для импорта сертификатов в хранилище доверия VxRail Manager.

Additional Information

  • ВСЕГДА создавайте снимки виртуальных машин системы (VCSA и VRM) перед продолжением работы с этой статьей.
  • Эта процедура предназначена для виртуальных машин VCSA, которые обслуживаются с помощью VxRail LCM.
    ПРИМЕЧАНИЕ. Некоторые продукты сторонних производителей необходимо повторно зарегистрировать или добавить новый корневой CA VMCA, чтобы стать доверенными (для конкретного продукта — см. документацию по продукту). Это связано с нарушением связи из-за изменения корневого сертификата или сертификата VCSA.
  • Если у пользователя есть сертификаты из собственной инфраструктуры, он может заменить их сейчас.

 

Affected Products

VxRail Appliance Family, VxRail Appliance Series, VxRail G Series Nodes, VxRail E Series Nodes, VxRail E560, VxRail E560F, VxRail E560N, VxRail E660, VxRail E660F, VxRail E660N, VxRail E665, VxRail E665F, VxRail E665N, VxRail G560F , VxRail P Series Nodes, VxRail P470, VxRail P570, VxRail P570F, VxRail P580N, VxRail P670F, VxRail P670N, VxRail P675F, VxRail P675N, VxRail S Series Nodes, VxRail S470, VxRail S570, VxRail S670, VxRail V Series Nodes, VxRail V470, VxRail V570, VxRail V570F, VXRAIL V670F, VxRail VD-4510C, VxRail VD-4520C, VxRail VE-660, VxRail VE-6615, VxRail VP-760, VxRail VP-7625, VxRail VS-760 ...
Article Properties
Article Number: 000082108
Article Type: Solution
Last Modified: 05 Sep 2025
Version:  12
Find answers to your questions from other Dell users
Support Services
Check if your device is covered by Support Services.