VxRail:由於憑證過期,無法登入 vCenter
Summary: VxRail 7.x 和 8.x:由於憑證過期,無法登入 vCenter。必須重新頒發證書。 VxRail 7.0.480 或更新版本:若憑證在 60 天內到期,會顯示警告,建議提前更新憑證。 此程序會將下列憑證重設為 VMCA 簽署的憑證: 機器 SSL (包括 SSL 信任錨和 vCenter 延伸指紋) 解決方案使用者 (包括 vCenter 延伸指紋) STS 簽署 ...
This article applies to
This article does not apply to
This article is not tied to any specific product.
Not all product versions are identified in this article.
Symptoms
案例 1:vCenter 憑證已到期。
- 無法登入 vCenter UI。
- 當 Web UI 可用時,即使使用正確的登入資料,任何登入嘗試都會失敗。
- vCenter Server Appliance (VCSA) 服務重新啟動失敗。
- 重新啟動服務不會啟動所有服務。
看到的錯誤:
/var/log/vmware/vpxd-svcs/vpxd-svcs.log: 2020-06-03T09:31:04.523Z [pool-8-thread-1 INFO com.vmware.identity.token.impl.X509TrustChainKeySelector opId=905f6864-c067-4db6-828c-1d59c4b43bf8] Failed to find trusted path to signing certificate <CN=ssoserverSign> sun.security.provider.certpath.SunCertPathBuilderException: unable to find valid certification path to requested target at sun.security.provider.certpath.SunCertPathBuilder.build(SunCertPathBuilder.java:141)
案例 2:vCenter 憑證將在不到 60 天後到期。(適用於 VxRail 7.0.480 及更新版本)
- 已完成登入 vCenter UI,但 VxRail 7.0.480 及更新版本在 VxRail Cluster > 設定>「VxRail>憑證>所有信任存放區憑證」頁面顯示警告,指出憑證將在 60 天內到期。
Cause
vCenter 憑證已到期或即將到期。
Resolution
針對這兩種情況,請按照這些步驟,使用 vCert 工具將 vCenter 上的所有憑證重設為 VMCA 簽署憑證。
注意:此程序適用於透過 VxRail LifeCycle Manager (LCM) 維護的單一 PSC 或 VCSA VM。如果是 HA、ELM 或客戶部署的 VCSA,請開立 VMware 工單!
注意:拍攝 VxRail Manager (VRM) 和 VCSA 的離線 快照!
注意:檢查快照建立程序是否已完成,沒有發生錯誤!沒有有效的快照,請勿繼續!
注意:如果發生問題,請勿在未還原至快照的情況下重試!
- 從 VMware 下載 vCert 工具: vCert - 指令檔化的 vCenter 過期的憑證更換
- 使用 WinSCP 或類似方法將.zip檔案上傳至 vCenter。在此範例中,我們將其上傳至 /tmp 目錄
- 使用根認證透過 SSH 連線至 vCenter,並使用解壓縮命令解壓縮檔案 (檔案名稱會根據版本而有所變更):
cd /tmp unzip vCert-6.0.0-20250218.zip - 進入 vCert 目錄並啟動指令檔:
cd vCert-6.0.0-20250218 ./vCert.py - 在選單中,輸入選項 6 以:使用 VMCA 簽署憑證重設所有憑證
VCF/VVF Certificate Management Utility (version 6.0.0) ----------------------------------------------------------------- 1. Check current certificate status 2. View certificate info 3. Manage certificates 4. Manage SSL trust anchors 5. Check configurations 6. Reset all certificates with VMCA-signed certificates 7. ESXi certificate operations 8. Restart services 9. Generate certificate report E. Exit Select an option [1]: 6 - 「憑證簽署要求資訊」可保留為預設值,或使用公司及/或環境資訊進行更新。在此範例中,我們將其保留為預設值:
Certificate Signing Request Information ----------------------------------------------------------------- Enter the country code [US]: Enter the Organization name [VMware]: Enter the Organizational Unit name [VMware Engineering]: Enter the state [California]: Enter the locality (city) name [Palo Alto]: Enter the IP address (optional): Enter an email address (optional): Enter any additional hostnames for SAN entries (comma separated value): - 指令檔會重設 vCenter 憑證。
- 完成後,請遵循 Dell VxRail:如何在 VxRail Manager 上手動匯入 vCenter SSL 憑證 ,以將憑證匯入 VxRail Manager 信任存放區。
Additional Information
- 在遵循本文之前,請務必先拍攝系統虛擬機器 (VCSA 和 VRM) 的快照。
- 此程序適用於透過 VxRail LCM 維護的 VCSA VM。
注意:必須重新註冊某些第三方產品,或新增新的 VMCA 根 CA 才能信任 (產品專屬 - 請查看產品說明文件)。這是因為通訊因根或 VCSA 憑證變更而中斷。
- 如果使用者擁有來自其自身基礎結構的憑證,則可以立即將其取代。
Affected Products
VxRail Appliance Family, VxRail Appliance Series, VxRail G Series Nodes, VxRail E Series Nodes, VxRail E560, VxRail E560F, VxRail E560N, VxRail E660, VxRail E660F, VxRail E660N, VxRail E665, VxRail E665F, VxRail E665N, VxRail G560F
, VxRail P Series Nodes, VxRail P470, VxRail P570, VxRail P570F, VxRail P580N, VxRail P670F, VxRail P670N, VxRail P675F, VxRail P675N, VxRail S Series Nodes, VxRail S470, VxRail S570, VxRail S670, VxRail V Series Nodes, VxRail V470, VxRail V570, VxRail V570F, VXRAIL V670F, VxRail VD-4510C, VxRail VD-4520C, VxRail VE-660, VxRail VE-6615, VxRail VP-760, VxRail VP-7625, VxRail VS-760
...
Article Properties
Article Number: 000082108
Article Type: Solution
Last Modified: 05 Sep 2025
Version: 12
Find answers to your questions from other Dell users
Support Services
Check if your device is covered by Support Services.