VxRail:由于证书过期,无法登录 vCenter
Summary: VxRail 7.x 和 8.x:由于证书过期,无法登录 vCenter。必须重新颁发证书。 VxRail 7.0.480 或更高版本:如果证书在 60 天内过期,会显示警告,建议提前续订证书。 此过程将以下证书重置为 VMCA 签名的证书: 计算机 SSL(包括 SSL 信任锚点和 vCenter 扩展指纹) 解决方案用户(包括 vCenter 扩展指纹) STS 签名 ...
This article applies to
This article does not apply to
This article is not tied to any specific product.
Not all product versions are identified in this article.
Symptoms
情况 1:vCenter 证书已过期。
- 无法登录到 vCenter UI。
- 当 Web UI 可用时,即使凭据正确,任何登录尝试都会失败。
- 重新启动 vCenter Server Appliance (VCSA) 服务失败。
- 重新启动服务不会显示所有服务。
观察到的错误:
/var/log/vmware/vpxd-svcs/vpxd-svcs.log: 2020-06-03T09:31:04.523Z [pool-8-thread-1 INFO com.vmware.identity.token.impl.X509TrustChainKeySelector opId=905f6864-c067-4db6-828c-1d59c4b43bf8] Failed to find trusted path to signing certificate <CN=ssoserverSign> sun.security.provider.certpath.SunCertPathBuilderException: unable to find valid certification path to requested target at sun.security.provider.certpath.SunCertPathBuilder.build(SunCertPathBuilder.java:141)
情况 2:vCenter 证书将在 60 天内到期。(对于 VxRail 7.0.480 及更高版本)
- 登录 vCenter UI 已完成,但 VxRail 7.0.480 及更高版本在 VxRail 群集>配置VxRail>证书>“所有>信任存储证书”页面中显示警告,指出证书将在不到 60 天内到期。
Cause
vCenter 证书已过期或即将过期。
Resolution
对于任一情形:使用 vCert 工具执行以下步骤,将 vCenter 上的所有证书重置为 VMCA 签名的证书。
提醒:此过程适用于通过 VxRail LifeCycle Manager (LCM) 维护的单个 PSC 或 VCSA 虚拟机。对于 HA、ELM 或客户部署的 VCSA,请创建 VMware 工单!
提醒:拍摄 VxRail Manager (VRM) 和 VCSA 的 离线 快照!
提醒:请检查快照创建过程是否已完成且没有错误!请勿在没有有效快照的情况下继续!
提醒:如果遇到问题,请勿在不恢复到快照的情况下重试!
- 从 VMware 下载 vCert 工具: vCert - 脚本化 vCenter 过期证书更换
- 使用 WinSCP 或类似工具将 .zip 文件上传到 vCenter。在此示例中,我们将其上传到 /tmp 目录
- 使用根凭据通过 SSH 连接到 vCenter,并使用解压命令解压文件(文件名将根据版本更改):
cd /tmp unzip vCert-6.0.0-20250218.zip - 进入 vCert 目录并启动脚本:
cd vCert-6.0.0-20250218 ./vCert.py - 在菜单中,为以下选项输入选项 6:使用 VMCA 签名的证书重置所有证书
VCF/VVF Certificate Management Utility (version 6.0.0) ----------------------------------------------------------------- 1. Check current certificate status 2. View certificate info 3. Manage certificates 4. Manage SSL trust anchors 5. Check configurations 6. Reset all certificates with VMCA-signed certificates 7. ESXi certificate operations 8. Restart services 9. Generate certificate report E. Exit Select an option [1]: 6 - “Certificate Signing Request Information”可以保留默认值,也可以使用公司和/或环境信息进行更新。在此示例中,我们将其保留为默认值:
Certificate Signing Request Information ----------------------------------------------------------------- Enter the country code [US]: Enter the Organization name [VMware]: Enter the Organizational Unit name [VMware Engineering]: Enter the state [California]: Enter the locality (city) name [Palo Alto]: Enter the IP address (optional): Enter an email address (optional): Enter any additional hostnames for SAN entries (comma separated value): - 脚本将重置 vCenter 证书。
- 完成后,请遵循 Dell VxRail:如何在 VxRail Manager 上手动导入 vCenter SSL 证书 ,以将证书导入 VxRail Manager 信任存储库。
Additional Information
- 按照本文作之前,请始终拍摄系统虚拟机(VCSA 和 VRM)的快照。
- 此过程适用于通过 VxRail LCM 维护的 VCSA 虚拟机。
提醒:某些第三方产品必须重新注册,或添加新的 VMCA 根 CA 才能受信任(特定于产品 — 请查看产品文档)。由于根或 VCSA 证书更改,通信中断。
- 如果用户拥有来自其自己的基础架构的证书,他们现在可以替换这些证书。
Affected Products
VxRail Appliance Family, VxRail Appliance Series, VxRail G Series Nodes, VxRail E Series Nodes, VxRail E560, VxRail E560F, VxRail E560N, VxRail E660, VxRail E660F, VxRail E660N, VxRail E665, VxRail E665F, VxRail E665N, VxRail G560F
, VxRail P Series Nodes, VxRail P470, VxRail P570, VxRail P570F, VxRail P580N, VxRail P670F, VxRail P670N, VxRail P675F, VxRail P675N, VxRail S Series Nodes, VxRail S470, VxRail S570, VxRail S670, VxRail V Series Nodes, VxRail V470, VxRail V570, VxRail V570F, VXRAIL V670F, VxRail VD-4510C, VxRail VD-4520C, VxRail VE-660, VxRail VE-6615, VxRail VP-760, VxRail VP-7625, VxRail VS-760
...
Article Properties
Article Number: 000082108
Article Type: Solution
Last Modified: 05 Sep 2025
Version: 12
Find answers to your questions from other Dell users
Support Services
Check if your device is covered by Support Services.