VxRail: Não é possível fazer log-in no vCenter devido a certificados expirados
Summary: VxRail 7.x e 8.x: Não é possível fazer log-in no vCenter devido a certificados expirados. Os certificados devem ser reemitidos. VxRail 7.0.480 ou posterior: Um aviso mostra que o certificado expira em menos de 60 dias. Recomende a renovação antecipada do certificado. Este procedimento redefine os seguintes certificados para certificados assinados pela VMCA: SSL da máquina (incluindo âncoras de confiança SSL e impressões digitais de extensão do vCenter) Usuários da solução (inclusive impressões digitais da extensão do vCenter) Assinatura STS ...
This article applies to
This article does not apply to
This article is not tied to any specific product.
Not all product versions are identified in this article.
Symptoms
Cenário 1: O certificado do vCenter já expirou.
- Não foi possível fazer log-in na interface do usuário do vCenter.
- Qualquer tentativa de log-in quando a IU da Web está disponível falha, mesmo com as credenciais corretas.
- Falha na reinicialização dos serviços do vCenter Server Appliance (VCSA).
- A reinicialização dos serviços não ativa todos os serviços.
Erros observados:
/var/log/vmware/vpxd-svcs/vpxd-svcs.log: 2020-06-03T09:31:04.523Z [pool-8-thread-1 INFO com.vmware.identity.token.impl.X509TrustChainKeySelector opId=905f6864-c067-4db6-828c-1d59c4b43bf8] Failed to find trusted path to signing certificate <CN=ssoserverSign> sun.security.provider.certpath.SunCertPathBuilderException: unable to find valid certification path to requested target at sun.security.provider.certpath.SunCertPathBuilder.build(SunCertPathBuilder.java:141)
Cenário 2: O certificado do vCenter expira em menos de 60 dias. (Para o VxRail 7.0.480 e versões posteriores)
- O login na interface do usuário do vCenter foi concluído, mas o VxRail 7.0.480 e versões posteriores mostram um aviso na página Configure>VxRail>>Certificate>All Trust Store Certificates, informando que o certificado expira em menos de 60 dias.
Cause
Os certificados do vCenter expiram ou expirarão em breve.
Resolution
Para qualquer um dos cenários: siga estas etapas usando a ferramenta vCert para redefinir todos os certificados no vCenter para certificados assinados pela VMCA.
Nota: Este procedimento destina-se a VMs de PSC ou VCSA únicas que são mantidas por meio do VxRail LifeCycle Manager (LCM). Para HA, ELM ou VCSAs implementados pelo cliente, abra um tíquete da VMware!
Nota: Faça snapshots OFF-LINE do VxRail Manager (VRM) e do VCSA!
Nota: Verifique se o processo de criação de snapshots foi concluído sem erros! NÃO continue sem snapshots válidos!
Nota: Se forem encontrados problemas, não repita sem reverter para snapshots!
- Faça download da ferramenta vCert da VMware: vCert - Substituição de certificado expirado do vCenter com script
- Carregue o arquivo .zip no vCenter usando WinSCP ou similar. Neste exemplo, nós o carregamos no diretório /tmp
- Faça SSH no vCenter usando credenciais de root e descompacte o arquivo usando o comando extract (o nome do arquivo será alterado com base na versão):
cd /tmp unzip vCert-6.0.0-20250218.zip - Digite o diretório vCert e inicie o script:
cd vCert-6.0.0-20250218 ./vCert.py - No menu, digite a opção 6 para: Redefinir todos os certificados com certificados assinados por VMCA
VCF/VVF Certificate Management Utility (version 6.0.0) ----------------------------------------------------------------- 1. Check current certificate status 2. View certificate info 3. Manage certificates 4. Manage SSL trust anchors 5. Check configurations 6. Reset all certificates with VMCA-signed certificates 7. ESXi certificate operations 8. Restart services 9. Generate certificate report E. Exit Select an option [1]: 6 - As "Informações da solicitação de assinatura de certificado" podem ser deixadas como padrão ou atualizadas com informações da empresa e/ou ambiente. Deixamos o padrão neste exemplo:
Certificate Signing Request Information ----------------------------------------------------------------- Enter the country code [US]: Enter the Organization name [VMware]: Enter the Organizational Unit name [VMware Engineering]: Enter the state [California]: Enter the locality (city) name [Palo Alto]: Enter the IP address (optional): Enter an email address (optional): Enter any additional hostnames for SAN entries (comma separated value): - O script redefine os certificados do vCenter.
- Quando terminar, siga Dell VxRail: Como importar manualmente o certificado SSL do vCenter no VxRail Manager para importar os certificados para o armazenamento confiável do VxRail Manager.
Additional Information
- SEMPRE faça snapshots de VMs do sistema (VCSA e VRM) antes de seguir este artigo.
- Este procedimento destina-se a VMs do VCSA que são mantidas por meio do LCM do VxRail.
Nota: Alguns produtos de terceiros devem ser registrados novamente ou a nova CA raiz VMCA deve ser adicionada para ser confiável (específico do produto - verifique a documentação do produto). Isso porque a comunicação foi interrompida devido à alteração do certificado Root ou VCSA.
- Se um usuário tiver certificados de sua própria infraestrutura, ele poderá substituí-los agora.
Affected Products
VxRail Appliance Family, VxRail Appliance Series, VxRail G Series Nodes, VxRail E Series Nodes, VxRail E560, VxRail E560F, VxRail E560N, VxRail E660, VxRail E660F, VxRail E660N, VxRail E665, VxRail E665F, VxRail E665N, VxRail G560F
, VxRail P Series Nodes, VxRail P470, VxRail P570, VxRail P570F, VxRail P580N, VxRail P670F, VxRail P670N, VxRail P675F, VxRail P675N, VxRail S Series Nodes, VxRail S470, VxRail S570, VxRail S670, VxRail V Series Nodes, VxRail V470, VxRail V570, VxRail V570F, VXRAIL V670F, VxRail VD-4510C, VxRail VD-4520C, VxRail VE-660, VxRail VE-6615, VxRail VP-760, VxRail VP-7625, VxRail VS-760
...
Article Properties
Article Number: 000082108
Article Type: Solution
Last Modified: 05 Sep 2025
Version: 12
Find answers to your questions from other Dell users
Support Services
Check if your device is covered by Support Services.