VCF_Upgrade_NSX — 一开始停止 Point-NSX-T 升级失败

错误：
”Retrieving update detail failed. VCF services are not available. Unable to retrieve aggregated upgrade details: Cannot read properties of undefined (reading 'nsxt-mgmt.local:vcenter.local:domain-c7')“

在 SDDC Manager UI 中，升级失败，并显示：

• Upgrade element resourceType: NSX_T_PARALLEL_CLUSTER resourceId: nsxt-mgr.local:_ParallelClusterUpgradeElement status changed to COMPLETED_WITH_FAILURE

• 9/3/25, 2:38 PM Upgrade element resourceType: NSX_T_HOSTCLUSTER resourceId: nsxt-mgmt.local:vcenter-mgmt.local:domain-c9 status changed to SKIPPED

2025-09-03T11:38:43.532+0000 INFO  [vcf_lcm,0000000000000000,0000,upgradeId=0d7315ba-b55a-44f5-97af-e830e5ee351c,resourceType=NSX_T_PARALLEL_CLUSTER,resourceId=nsxt-mgmt.local:_ParallelClusterUpgradeElement,bundleElementId=d047696f-0b52-4fa7-8897-5a085bfd4c2b] [o.a.h.c.h.i.c.HttpRequestRetryExec,Upgrade-1] Recoverable I/O exception (javax.net.ssl.SSLHandshakeException) caught when processing request to {s}->https://vxrail-mgr.local:443

2025-09-03T11:38:43.562+0000 ERROR [vcf_lcm,0000000000000000,0000,upgradeId=0d7315ba-b55a-44f5-97af-e830e5ee351c,resourceType=NSX_T_PARALLEL_CLUSTER,resourceId=nsxt-mgmt.local:_ParallelClusterUpgradeElement,bundleElementId=d047696f-0b52-4fa7-8897-5a085bfd4c2b] [c.v.e.s.l.p.impl.vxm.VxManagerClient,Upgrade-1] General exception in executeVxManagerHttpRequest PKIX path building failed: sun.security.provider.certpath.SunCertPathBuilderException: unable to find valid certification path to requested target

2025-09-03T11:38:43.562+0000 ERROR [vcf_lcm,0000000000000000,0000,upgradeId=0d7315ba-b55a-44f5-97af-e830e5ee351c,resourceType=NSX_T_PARALLEL_CLUSTER,resourceId=nsxt-mgmt.local:_ParallelClusterUpgradeElement,bundleElementId=d047696f-0b52-4fa7-8897-5a085bfd4c2b] [c.v.e.s.l.p.i.nsxt.NsxtUpgradeUtil,Upgrade-1] Unhandled exception during NSX component upgrade:

javax.net.ssl.SSLHandshakeException: PKIX path building failed: sun.security.provider.certpath.SunCertPathBuilderException: unable to find valid certification path to requested target.

按键错误：

javax.net.ssl.SSLHandshakeException: PKIX path building failed:

sun.security.provider.certpath.SunCertPathBuilderException:

unable to find valid certification path to requested target

• 这表示 VCF Lifecycle Manager （LCM） 正在尝试通过以下方式与 VxRail Manager 通信： https://vxrail-mgr.local:443，但由于 Java 信任库中的证书不受信任或缺失，SSL 握手失败。

VCF Lifecycle Manager （LCM） 尝试在以下网址与 VxRail Manager 通信： https://vxrail-mgr.local:443

但是，SSL 握手失败，因为 VxRail Manager 提供的证书是：

• 自签名

• VCF 使用的 Java 信任库中缺少

因此，由于证书链中缺乏信任，升级过程无法继续。

请按照以下步骤解决问题：

从 SDDC Manager 中，运行以下命令：

echo | openssl s_client -connect vxrail-mgr.local:443 -showcerts

• 复制整个证书链（-----BEGIN CERTIFICATE----- 和 -----END CERTIFICATE----- 之间的所有内容）
• 将其保存到文件中，例如， /tmp/vxrail.crt

按照 Broadcom 知识库文章中的说明进行作：替换 VxRail Manager 证书后更新 SDDC Manager（外部链接） 

• 您可以通过运行以下命令来验证证书现在是否受信任： openssl s_client -connect vxrail-mgr.local:443, 并检查证书链是否已验证。

步骤 3：重新启动 VCF 服务。

导入证书后，重新启动 VCF 服务以应用更改：

/opt/vmware/vcf/operationsmanager/scripts/cli/sddcmanagerrestartservices.sh

步骤 4：重试 NSX-T 升级。

返回到 SDDC Manager UI，然后重试 NSX-T 并行群集的升级。确认升级继续进行到之前的故障点之后。

步骤 5：

• 此问题常见于使用自签名证书或证书链未正确维护的环境中。
• 定期更新和验证环境中的证书可以防止生命周期作期间出现此类问题。