VxRail: Det går inte att logga in på vCenter på grund av utgångna certifikat
Summary: VxRail 7.x och 8.x: Det går inte att logga in på vCenter på grund av utgångna certifikat. Certifikat måste utfärdas på nytt. VxRail 7.0.480 eller senare: En varning visas för certifikatet upphör att gälla om mindre än 60 dagar, vi rekommenderar att du förnyar certifikatet i förväg. Med den här proceduren återställs följande certifikat till VMCA-signerade certifikat: Dator-SSL (inklusive SSL Trust Anchors och tumavtryck för vCenter-tillägg) Lösningsanvändare (inklusive tumavtryck för vCenter-tillägg) STS-signering ...
This article applies to
This article does not apply to
This article is not tied to any specific product.
Not all product versions are identified in this article.
Symptoms
Scenario 1: vCenter-certifikatet har redan upphört att gälla.
- Det går inte att logga in på vCenter-gränssnittet.
- Alla inloggningsförsök när webbgränssnittet är tillgängligt misslyckas även med korrekta autentiseringsuppgifter.
- Det går inte att starta om VCSA-tjänsterna (vCenter Server Appliance).
- Alla tjänster startas inte om när tjänsterna startas om.
Observerade fel:
/var/log/vmware/vpxd-svcs/vpxd-svcs.log: 2020-06-03T09:31:04.523Z [pool-8-thread-1 INFO com.vmware.identity.token.impl.X509TrustChainKeySelector opId=905f6864-c067-4db6-828c-1d59c4b43bf8] Failed to find trusted path to signing certificate <CN=ssoserverSign> sun.security.provider.certpath.SunCertPathBuilderException: unable to find valid certification path to requested target at sun.security.provider.certpath.SunCertPathBuilder.build(SunCertPathBuilder.java:141)
Scenario 2: vCenter-certifikatet upphör att gälla om mindre än 60 dagar. (För VxRail 7.0.480 och senare versioner)
- Inloggningen till vCenter-gränssnittet har slutförts men i VxRail 7.0.480 och senare versioner visas en varning i VxRail Cluster > Configure>VxRail>Certificate>All Trust Store Certificates som anger att certifikatet upphör att gälla om mindre än 60 dagar.
Cause
vCenter-certifikat har snart upphört att gälla eller upphör snart att gälla.
Resolution
För båda scenarierna: Följ dessa steg med hjälp av vCert-verktyget för att återställa alla certifikat på vCenter till VMCA-signerade certifikat.
Obs! Den här proceduren är avsedd för enskilda PSC- eller VCSA-maskiner som underhålls via VxRail LifeCycle Manager (LCM). Öppna ett VMware-ärende för HA-, ELM- eller kunddistribuerade VCSA:er!
Obs! Ta OFFLINE-snapshots av VxRail Manager (VRM) och VCSA!
Obs! Kontrollera om processen för att skapa ögonblicksbilder har slutförts utan fel! Fortsätt INTE utan giltiga snapshots!
Obs! Om problem uppstår, försök inte igen utan att återgå till snapshots!
- Hämta vCert-verktyget från VMware: vCert – skriptbaserad vCenter-certifikatersättning som har upphört att gälla
- Ladda upp .zip filen till vCenter med WinSCP eller liknande. I det här exemplet laddade vi upp den till katalogen /tmp
- SSH till vCenter med rotinloggningsuppgifter och packa upp filen med hjälp av uppackningskommandot (filnamnet ändras beroende på version):
cd /tmp unzip vCert-6.0.0-20250218.zip - Öppna vCert-katalogen och starta skriptet:
cd vCert-6.0.0-20250218 ./vCert.py - På menyn anger du alternativ 6 för: Återställ alla certifikat med VMCA-signerade certifikat
VCF/VVF Certificate Management Utility (version 6.0.0) ----------------------------------------------------------------- 1. Check current certificate status 2. View certificate info 3. Manage certificates 4. Manage SSL trust anchors 5. Check configurations 6. Reset all certificates with VMCA-signed certificates 7. ESXi certificate operations 8. Restart services 9. Generate certificate report E. Exit Select an option [1]: 6 - Information om begäran om certifikatsignering kan lämnas som standard eller uppdateras med företags- och/eller miljöinformation. Vi lämnade det som standard i det här exemplet:
Certificate Signing Request Information ----------------------------------------------------------------- Enter the country code [US]: Enter the Organization name [VMware]: Enter the Organizational Unit name [VMware Engineering]: Enter the state [California]: Enter the locality (city) name [Palo Alto]: Enter the IP address (optional): Enter an email address (optional): Enter any additional hostnames for SAN entries (comma separated value): - Skriptet återställer vCenter-certifikaten.
- När det är klart följer du Dell VxRail: Importera vCenter SSL-certifikat manuellt på VxRail Manager för att importera certifikaten till VxRail Manager-förtroendearkivet.
Additional Information
- Ta ALLTID ögonblicksbilder av virtuella systemdatorer (VCSA och VRM) innan du följer den här artikeln.
- Den här proceduren är avsedd för virtuella VCSA-datorer som underhålls via VxRail LCM.
Obs! Vissa produkter från tredje part måste registreras på nytt eller så måste den nya VMCA-rotcertifikatutfärdaren läggas till för att vara betrodd (produktspecifik – kontrollera produktdokumentationen). Detta eftersom kommunikationen bryts på grund av ändring av rot- eller VCSA-certifikat.
- Om en användare har certifikat från sin egen infrastruktur kan de ersätta dem nu.
Affected Products
VxRail Appliance Family, VxRail Appliance Series, VxRail G Series Nodes, VxRail E Series Nodes, VxRail E560, VxRail E560F, VxRail E560N, VxRail E660, VxRail E660F, VxRail E660N, VxRail E665, VxRail E665F, VxRail E665N, VxRail G560F
, VxRail P Series Nodes, VxRail P470, VxRail P570, VxRail P570F, VxRail P580N, VxRail P670F, VxRail P670N, VxRail P675F, VxRail P675N, VxRail S Series Nodes, VxRail S470, VxRail S570, VxRail S670, VxRail V Series Nodes, VxRail V470, VxRail V570, VxRail V570F, VXRAIL V670F, VxRail VD-4510C, VxRail VD-4520C, VxRail VE-660, VxRail VE-6615, VxRail VP-760, VxRail VP-7625, VxRail VS-760
...
Article Properties
Article Number: 000082108
Article Type: Solution
Last Modified: 05 Sep 2025
Version: 12
Find answers to your questions from other Dell users
Support Services
Check if your device is covered by Support Services.