VxRail:由於憑證過期,無法登入 vCenter

摘要: VxRail 7.x 和 8.x:由於憑證過期,無法登入 vCenter。必須重新頒發證書。 VxRail 7.0.480 或更新版本:若憑證在 60 天內到期,會顯示警告,建議提前更新憑證。 此程序會將下列憑證重設為 VMCA 簽署的憑證: 機器 SSL (包括 SSL 信任錨和 vCenter 延伸指紋) 解決方案使用者 (包括 vCenter 延伸指紋) STS 簽署 ...

本文章適用於 本文章不適用於 本文無關於任何特定產品。 本文未識別所有產品版本。
查看其他資源

症狀

案例 1:vCenter 憑證已到期。 

  • 無法登入 vCenter UI。
  • 當 Web UI 可用時,即使使用正確的登入資料,任何登入嘗試都會失敗。
    嘗試登入後,VCSA Web 登入會顯示「需要使用者名稱和密碼」
  • vCenter Server Appliance (VCSA) 服務重新啟動失敗。
  • 重新啟動服務不會啟動所有服務。

看到的錯誤:

/var/log/vmware/vpxd-svcs/vpxd-svcs.log:
2020-06-03T09:31:04.523Z [pool-8-thread-1  INFO  com.vmware.identity.token.impl.X509TrustChainKeySelector  opId=905f6864-c067-4db6-828c-1d59c4b43bf8] Failed to find trusted path to signing certificate <CN=ssoserverSign>
sun.security.provider.certpath.SunCertPathBuilderException: unable to find valid certification path to requested target
        at sun.security.provider.certpath.SunCertPathBuilder.build(SunCertPathBuilder.java:141)

案例 2:vCenter 憑證將在不到 60 天後到期。(適用於 VxRail 7.0.480 及更新版本)

  • 已完成登入 vCenter UI,但 VxRail 7.0.480 及更新版本在 VxRail Cluster > 設定>「VxRail>憑證>所有信任存放區憑證」頁面顯示警告,指出憑證將在 60 天內到期。
    VCSA UI 中的憑證即將到期警告

 

原因

vCenter 憑證已到期或即將到期。 
 

解析度

針對這兩種情況,請按照這些步驟,使用 vCert 工具將 vCenter 上的所有憑證重設為 VMCA 簽署憑證。

注意:此程序適用於透過 VxRail LifeCycle Manager (LCM) 維護的單一 PSC 或 VCSA VM。如果是 HA、ELM 或客戶部署的 VCSA,請開立 VMware 工單!
注意:拍攝 VxRail Manager (VRM) 和 VCSA 的離線 快照!
注意:檢查快照建立程序是否已完成,沒有發生錯誤!沒有有效的快照,請勿繼續!
注意:如果發生問題,請勿在未還原至快照的情況下重試!
 
  1. 從 VMware 下載 vCert 工具: vCert - 指令檔化的 vCenter 過期的憑證更換此超連結會帶您前往 Dell Technologies 以外的網站。
  2. 使用 WinSCP 或類似方法將.zip檔案上傳至 vCenter。在此範例中,我們將其上傳至 /tmp 目錄
  3. 使用根認證透過 SSH 連線至 vCenter,並使用解壓縮命令解壓縮檔案 (檔案名稱會根據版本而有所變更): 
    cd /tmp
unzip vCert-6.0.0-20250218.zip
  4. 進入 vCert 目錄並啟動指令檔: 
    cd vCert-6.0.0-20250218
./vCert.py
  5. 在選單中,輸入選項 6 以:使用 VMCA 簽署憑證重設所有憑證 
    VCF/VVF Certificate Management Utility (version 6.0.0)
-----------------------------------------------------------------
 1. Check current certificate status
 2. View certificate info
 3. Manage certificates
 4. Manage SSL trust anchors
 5. Check configurations
 6. Reset all certificates with VMCA-signed certificates
 7. ESXi certificate operations
 8. Restart services
 9. Generate certificate report
 E. Exit

Select an option [1]: 6
  6.  「憑證簽署要求資訊」可保留為預設值,或使用公司及/或環境資訊進行更新。在此範例中,我們將其保留為預設值: 
    Certificate Signing Request Information
-----------------------------------------------------------------
Enter the country code [US]:
Enter the Organization name [VMware]:
Enter the Organizational Unit name [VMware Engineering]:
Enter the state [California]:
Enter the locality (city) name [Palo Alto]:
Enter the IP address (optional):
Enter an email address (optional):
Enter any additional hostnames for SAN entries (comma separated value):
  7. 指令檔會重設 vCenter 憑證。 
  8.  完成後,請遵循 Dell VxRail:如何在 VxRail Manager 上手動匯入 vCenter SSL 憑證 ,以將憑證匯入 VxRail Manager 信任存放區。

其他資訊

  • 在遵循本文之前,請務必先拍攝系統虛擬機器 (VCSA 和 VRM) 的快照。
  • 此程序適用於透過 VxRail LCM 維護的 VCSA VM。
    注意:必須重新註冊某些第三方產品,或新增新的 VMCA 根 CA 才能信任 (產品專屬 - 請查看產品說明文件)。這是因為通訊因根或 VCSA 憑證變更而中斷。
  • 如果使用者擁有來自其自身基礎結構的憑證,則可以立即將其取代。

 

受影響的產品

VxRail Appliance Family, VxRail Appliance Series, VxRail G Series Nodes, VxRail E Series Nodes, VxRail E560, VxRail E560F, VxRail E560N, VxRail E660, VxRail E660F, VxRail E660N, VxRail E665, VxRail E665F, VxRail E665N, VxRail G560F , VxRail P Series Nodes, VxRail P470, VxRail P570, VxRail P570F, VxRail P580N, VxRail P670F, VxRail P670N, VxRail P675F, VxRail P675N, VxRail S Series Nodes, VxRail S470, VxRail S570, VxRail S670, VxRail V Series Nodes, VxRail V470, VxRail V570, VxRail V570F, VXRAIL V670F, VxRail VD-4510C, VxRail VD-4520C, VxRail VE-660, VxRail VE-6615, VxRail VP-760, VxRail VP-7625, VxRail VS-760 ...
文章屬性
文章編號: 000082108
文章類型: Solution
上次修改時間: 05 9月 2025
版本:  12
向其他 Dell 使用者尋求您問題的答案
支援服務
檢查您的裝置是否在支援服務的涵蓋範圍內。