VxRail: Не вдається увійти до vCenter через прострочені сертифікати
Summary: VxRail 7.x і 8.x: Не вдається увійти до vCenter через прострочені сертифікати. Сертифікати підлягають повторному оформленню. VxRail 7.0.480 або новішої версії: Попередження з'являється, що термін дії сертифіката закінчується менше ніж за 60 днів, рекомендуємо поновити сертифікат заздалегідь. Ця процедура скидає такі сертифікати до сертифікатів, підписаних VMCA: Комп'ютерний SSL (включно з SSL Trust Anchors і мініатюрами розширень vCenter) Користувачі рішення (включно з мініатюрами розширень vCenter) Підписання ССО ...
This article applies to
This article does not apply to
This article is not tied to any specific product.
Not all product versions are identified in this article.
Symptoms
Сценарій 1: Термін дії сертифіката vCenter вже закінчився.
- Не вдається увійти в інтерфейс користувача vCenter.
- Будь-яка спроба входу за наявності веб-інтерфейсу зазнає невдачі навіть із правильними обліковими даними.
- Не вдається перезавантажити служби vCenter Server Appliance (VCSA).
- Перезапуск сервісів призводить не до виклику всіх служб.
Помилки, що спостерігаються:
/var/log/vmware/vpxd-svcs/vpxd-svcs.log: 2020-06-03T09:31:04.523Z [pool-8-thread-1 INFO com.vmware.identity.token.impl.X509TrustChainKeySelector opId=905f6864-c067-4db6-828c-1d59c4b43bf8] Failed to find trusted path to signing certificate <CN=ssoserverSign> sun.security.provider.certpath.SunCertPathBuilderException: unable to find valid certification path to requested target at sun.security.provider.certpath.SunCertPathBuilder.build(SunCertPathBuilder.java:141)
Сценарій 2: Термін дії сертифіката vCenter закінчується менш ніж за 60 днів. (Для версій VxRail 7.0.480 і вище)
- Вхід у vCenter UI завершено, але VxRail 7.0.480 і пізніші версії показують попередження на сторінці VxRail>Cluster Configuration VxRail> Certificate>> All Trust Store Certificates про те, що термін дії сертифіката закінчується менш ніж за 60 днів.
Cause
Термін дії сертифікатів vCenter закінчується або скоро закінчується.
Resolution
Для будь-якого сценарію: Виконайте ці кроки за допомогою інструменту vCert, щоб скинути всі сертифікати у vCenter до сертифікатів, підписаних VMCA.
Примітка: Ця процедура призначена для окремих віртуальних машин PSC або VCSA, які підтримуються за допомогою VxRail LifeCycle Manager (LCM). Для VCSA, розгорнутих клієнтами HA, ELM або розгорнутих клієнтом, відкрийте квиток VMware!
Примітка: Робіть знімки VxRail Manager (VRM) і VCSA в режимі OFFLINE!
Примітка: Перевірте, чи завершився процес створення знімків без помилок! НЕ продовжуйте без дійсних знімків!
Примітка: Якщо виникнуть проблеми, не повторюйте спроби, не повернувшись до знімків!
- Завантажте інструмент vCert від VMware: vCert - Скриптова заміна простроченого сертифіката vCenter
- Завантажте файл .zip у vCenter за допомогою WinSCP або подібного. У цьому прикладі ми завантажили його в директорію /tmp
- SSH до vCenter за допомогою облікових даних root і розархівуйте файл за допомогою команди extract (ім'я файлу зміниться залежно від версії):
cd /tmp unzip vCert-6.0.0-20250218.zip - Входимо в директорію vCert і запускаємо скрипт:
cd vCert-6.0.0-20250218 ./vCert.py - У меню введіть опцію 6 для: Скидання всіх сертифікатів із сертифікатами, підписаними VMCA
VCF/VVF Certificate Management Utility (version 6.0.0) ----------------------------------------------------------------- 1. Check current certificate status 2. View certificate info 3. Manage certificates 4. Manage SSL trust anchors 5. Check configurations 6. Reset all certificates with VMCA-signed certificates 7. ESXi certificate operations 8. Restart services 9. Generate certificate report E. Exit Select an option [1]: 6 - «Інформація про запит на підписання сертифіката» можна залишити за замовчуванням або оновити інформацію про компанію та/або середовище. У цьому прикладі ми залишили його за замовчуванням:
Certificate Signing Request Information ----------------------------------------------------------------- Enter the country code [US]: Enter the Organization name [VMware]: Enter the Organizational Unit name [VMware Engineering]: Enter the state [California]: Enter the locality (city) name [Palo Alto]: Enter the IP address (optional): Enter an email address (optional): Enter any additional hostnames for SAN entries (comma separated value): - Скрипт скидає сертифікати vCenter.
- Після завершення дотримуйтесь Dell VxRail: Як вручну імпортувати сертифікат vCenter SSL у VxRail Manager , щоб імпортувати сертифікати в сховище довіри VxRail Manager.
Additional Information
- ЗАВЖДИ робіть знімки системних віртуальних машин (VCSA та VRM), перш ніж слідкувати за цією статтею.
- Ця процедура призначена для віртуальних машин VCSA, які підтримуються через VxRail LCM.
ПРИМІТКА. Деякі продукти сторонніх виробників необхідно перереєструвати, або додати новий VMCA Root CA для довірчої власності (конкретний продукт - перевірте документацію продукту). Це оскільки зв'язок порушується через зміну сертифіката Root або VCSA.
- Якщо у користувача є сертифікати з власної інфраструктури, вони можуть замінити їх зараз.
Affected Products
VxRail Appliance Family, VxRail Appliance Series, VxRail G Series Nodes, VxRail E Series Nodes, VxRail E560, VxRail E560F, VxRail E560N, VxRail E660, VxRail E660F, VxRail E660N, VxRail E665, VxRail E665F, VxRail E665N, VxRail G560F
, VxRail P Series Nodes, VxRail P470, VxRail P570, VxRail P570F, VxRail P580N, VxRail P670F, VxRail P670N, VxRail P675F, VxRail P675N, VxRail S Series Nodes, VxRail S470, VxRail S570, VxRail S670, VxRail V Series Nodes, VxRail V470, VxRail V570, VxRail V570F, VXRAIL V670F, VxRail VD-4510C, VxRail VD-4520C, VxRail VE-660, VxRail VE-6615, VxRail VP-760, VxRail VP-7625, VxRail VS-760
...
Article Properties
Article Number: 000082108
Article Type: Solution
Last Modified: 05 Sep 2025
Version: 12
Find answers to your questions from other Dell users
Support Services
Check if your device is covered by Support Services.