VxRail : Impossible de se connecter à vCenter en raison de certificats expirés

Summary: VxRail 7.x et 8.x : Impossible de se connecter à vCenter en raison de certificats expirés. Les certificats doivent être réémis. VxRail 7.0.480 ou version supérieure : Un avertissement s’affiche si le certificat expire dans moins de 60 jours. Il est recommandé de renouveler le certificat à l’avance. Cette procédure réinitialise les certificats suivants sur des certificats signés VMCA : SSL de la machine (y compris les ancres de confiance SSL et les empreintes de l’extension vCenter) Utilisateurs de la solution (y compris les empreintes de l’extension vCenter) Signature STS ...

This article applies to This article does not apply to This article is not tied to any specific product. Not all product versions are identified in this article.
Check out other resources

Symptoms

Scénario 1 : Le certificat vCenter a déjà expiré. 

  • Impossible de se connecter à l’interface utilisateur vCenter.
  • Toute tentative de connexion lorsque l’interface utilisateur Web est disponible échoue, même avec des informations d’identification correctes.
    La connexion Web VCSA indique « nom d’utilisateur et mot de passe requis » après une tentative de connexion
  • Le redémarrage des services vCenter Server Appliance (VCSA) échoue.
  • Le redémarrage des services n’entraîne pas l’activation de tous les services.

Erreurs observées :

/var/log/vmware/vpxd-svcs/vpxd-svcs.log:
2020-06-03T09:31:04.523Z [pool-8-thread-1  INFO  com.vmware.identity.token.impl.X509TrustChainKeySelector  opId=905f6864-c067-4db6-828c-1d59c4b43bf8] Failed to find trusted path to signing certificate <CN=ssoserverSign>
sun.security.provider.certpath.SunCertPathBuilderException: unable to find valid certification path to requested target
        at sun.security.provider.certpath.SunCertPathBuilder.build(SunCertPathBuilder.java:141)

Scénario 2 : Le certificat vCenter expire dans moins de 60 jours. (Pour VxRail 7.0.480 et versions supérieures)

  • La connexion à l’interface utilisateur de vCenter est terminée, mais VxRail 7.0.480 et les versions supérieures affichent un avertissement dans VxRail Cluster > Configurer> le certificat VxRail>La> page Tous les certificats du magasin de confiance indique que le certificat expire dans moins de 60 jours.
    Avertissement d’expiration du certificat dans l’interface utilisateur VCSA

 

Cause

Les certificats vCenter ont expiré ou vont bientôt expirer. 
 

Resolution

Dans les deux cas, procédez comme suit à l’aide de l’outil vCert pour réinitialiser tous les certificats de vCenter sur des certificats signés VMCA.

Remarque : Cette procédure s’applique aux machines virtuelles PSC ou VCSA uniques qui sont gérées via VxRail Lifecycle Manager (LCM). Pour les VCSA déployées par le client, ELM ou HA, ouvrez un ticket VMware.
Remarque : Prenez des snapshots hors ligne de VxRail Manager (VRM) et VCSA !
Remarque : vérifiez si le processus de création de snapshots s’est terminé sans erreurs. Ne continuez PAS sans snapshots valides.
Remarque : Si vous rencontrez des problèmes, ne réessayez pas sans revenir aux snapshots !
 
  1. Téléchargez l’outil vCert à partir de VMware : vCert - Remplacement du certificat expiré vCenter avec scriptCe lien hypertexte renvoie à un site Web extérieur à Dell Technologies.
  2. Téléchargez le fichier .zip dans vCenter à l’aide de WinSCP ou d’un fichier similaire. Dans cet exemple, nous l’avons téléchargé dans le répertoire /tmp
  3. Ouvrez une session SSH sur vCenter à l’aide des informations d’identification root et décompressez le fichier à l’aide de la commande d’extraction (le nom du fichier change en fonction de la version) : 
    cd /tmp
unzip vCert-6.0.0-20250218.zip
  4. Entrez dans le répertoire vCert et démarrez le script : 
    cd vCert-6.0.0-20250218
./vCert.py
  5. Dans le menu, entrez l’option 6 pour : Réinitialiser tous les certificats avec des certificats signés VMCA 
    VCF/VVF Certificate Management Utility (version 6.0.0)
-----------------------------------------------------------------
 1. Check current certificate status
 2. View certificate info
 3. Manage certificates
 4. Manage SSL trust anchors
 5. Check configurations
 6. Reset all certificates with VMCA-signed certificates
 7. ESXi certificate operations
 8. Restart services
 9. Generate certificate report
 E. Exit

Select an option [1]: 6
  6.  Les informations sur la demande de signature de certificat peuvent être laissées par défaut ou mises à jour avec les informations sur la société et/ou l’environnement. Nous l’avons laissée par défaut dans cet exemple : 
    Certificate Signing Request Information
-----------------------------------------------------------------
Enter the country code [US]:
Enter the Organization name [VMware]:
Enter the Organizational Unit name [VMware Engineering]:
Enter the state [California]:
Enter the locality (city) name [Palo Alto]:
Enter the IP address (optional):
Enter an email address (optional):
Enter any additional hostnames for SAN entries (comma separated value):
  7. Le script réinitialise les certificats vCenter. 
  8.  Une fois l’opération terminée, suivez Dell VxRail : Comment importer manuellement le certificat SSL vCenter dans VxRail Manager pour importer les certificats dans le magasin de confiance VxRail Manager.

Additional Information

  • Prenez TOUJOURS des snapshots des machines virtuelles système (VCSA et VRM) avant de suivre cet article.
  • Cette procédure s’adresse aux machines virtuelles VCSA qui sont gérées via VxRail LCM.
    Remarque : Certains produits tiers doivent être réenregistrés ou la nouvelle autorité de certification racine VMCA doit être ajoutée pour être approuvée (spécifique au produit ; consultez la documentation du produit). Cela est dû au fait que la communication est interrompue en raison d’un changement de certificat racine ou VCSA.
  • Si un utilisateur dispose de certificats de sa propre infrastructure, il peut les remplacer maintenant.

 

Affected Products

VxRail Appliance Family, VxRail Appliance Series, VxRail G Series Nodes, VxRail E Series Nodes, VxRail E560, VxRail E560F, VxRail E560N, VxRail E660, VxRail E660F, VxRail E660N, VxRail E665, VxRail E665F, VxRail E665N, VxRail G560F , VxRail P Series Nodes, VxRail P470, VxRail P570, VxRail P570F, VxRail P580N, VxRail P670F, VxRail P670N, VxRail P675F, VxRail P675N, VxRail S Series Nodes, VxRail S470, VxRail S570, VxRail S670, VxRail V Series Nodes, VxRail V470, VxRail V570, VxRail V570F, VXRAIL V670F, VxRail VD-4510C, VxRail VD-4520C, VxRail VE-660, VxRail VE-6615, VxRail VP-760, VxRail VP-7625, VxRail VS-760 ...
Article Properties
Article Number: 000082108
Article Type: Solution
Last Modified: 05 Sep 2025
Version:  12
Find answers to your questions from other Dell users
Support Services
Check if your device is covered by Support Services.