vmware vCenter - Errore certificato scaduto (HTTP Status 500)

Rr00t · 4 giorni fa

Buongiorno,
volevo un riscontro magari da chi già è incorso in questo problema: provando ad accedere al vCenter da interfaccia Web (VSphere Client) dopo l'autenticazione mi compare:

Cercando un po' ho trovato che la causa di questo errore in genere dipende dal certificato scaduto; in effetti controllando il mio certificato è scaduto il mese scorso:

Sul forum Broadcom viene suggerito di eseguire i passaggi elencati in questo articolo, ovvero:

# for store in $(/usr/lib/vmware-vmafd/bin/vecs-cli store list | grep -v TRUSTED_ROOT_CRLS); do echo "[*] Store :" $store; /usr/lib/vmware-vmafd/bin/vecs-cli entry list --store $store --text | grep -ie "Alias" -ie "Not After";done
> Run /usr/lib/vmware-vmca/bin/certificate-manager. 

You will see vSphere Certificate Manager with multiple options to select.
> Choose 8 for reset all certificates.
> Choose 6 for reset for solution certificates.
> It will restart the all services. Now we are able to login vCenter.

Prima di procedere, però, volevo chiedervi se vi è capitato di dover fare questi passaggi e, nel caso, se è sufficiente rinnovare solo i "solution certificates" (opzione 6) oppure se conviene rinnovarli tutti (opzione 8).

Grazie in anticipo a chi vorrà/potrà contribuire (anche solo con un consiglio).

EDIT: mi permetto di taggare alcuni utenti che mi sembrano essere (stati) utilizzatori di questa soluzione @steff70 @Lorenzo1635 @giacomix11 @Articiok @Crossway @NicoInve

AArticiok · 4 giorni fa

mi spiace, mai successo nei miei 4 o 5 anni con ESXi.
ora sono passato a Proxmox (da quando VMWare è stata acquistata da Broadcom).

Rr00t · 3 giorni fa

Articiok grazie comunque per il riscontro.
Anche @Lorenzo1635 mi pare sia passato ad altri lidi

@steff70 nemmeno tu hai mai dovuto rinnovare il certificato?

LLorenzo1635 · 3 giorni fa

r00t Anche @Lorenzo1635 mi pare sia passato ad altri lidi

Confermo. Comunque nemmeno io ho idea su come risolvere al momento. Mi dispiace.

FFrytz · 2 giorni fa

Ciao, io un annetto fa ho fatto questa procedura (opzione 8) su uno dei nostri vcenter e ha funzionato senza problemi. Hai capito quale certificato è scaduto? Se un user certificate o un machine certificate per intenderci

Ssteff70 · 2 giorni fa

r00t

Scusami, ma leggo di rado essendo in viaggio per vacanza.

A me non è mai capitato il problema che menzioni, mi spiace.

TTaLe · 2 giorni fa

r00t
Ciao,
Devi capire innanzitutto quale certificato è scaduto, lanciando il primo comando (quello con il for). Solitamente il certificato che scade è il Machine SSL.

Se nel tuo caso è il Machine SSL dall'utilità dei certificati, basta lanciare l'opzione 3.

Nel caso fosse scaduto il Solution User, lancia l'opzione 6.

Se dovesse fallire il rinnovo per qualche motivo, lancia l'opzione 8.

Ci sono versione di vCenter vecchie che hanno problemi post rinnovo certificati. Se ti dovesse capitare c'è uno script Python da caricare sul vCenter e da lanciare.

PS. Una volta rinnovato segnati la data sul calendario così puoi rinnovarli per tempo

Rr00t · 2 giorni fa

Frytz grazie per la risposta e il tuo suggerimento.
Di preciso non so quale certificato sia scaduto; l'avviso dalla webinterface del vcenter mi fa presumere siano i solution certificates, ma non ho idea se altri siano scaduti. In teoria l'articolo dove è riportata la procedura riporta il comando che mi pare permetta di vedere l'elenco dei certificati (e presumo sia mostrata anche la validitá). Potrei guardare lì.
Comunque pure tu come altri, avete optato per l'opzione 8 che li rinnova tutti e bona
Diciamo che male non fa.
Domanda, se ti ricordi: l'hai fatto con le VM in esecuzione? Il riavvio automatico di tutti i servizi contestuale al rinnovo dei certificati non dovrebbe impattare in alcun modo, giusto?

TaLe grazie mille per l'esaustiva risposta che ho visto dopo aver scritto il commento sopra. Farò come hai suggerito, sperando di non incappare nello scenario problematico che riporti (e ho letto anche altrove).
Chiedo conferma anche a te sulla possibilitá di fare tutto questo senza patemi per le VM in esecuzione. Grazie mille!

Karakurt · 2 giorni fa

r00t io ho sempre usato i tool di VMware e che da qualche giorno Broadcom ha aggiornato/sostituito:
https://knowledge.broadcom.com/external/article/385107
(vCenter 7.x e 8.x)

Rr00t · 2 giorni fa

Karakurt grazie mille.
Penso che quello che hai linkato è lo script Python di cui parlava @TaLe; ora verifico qual è il cerificato scaduto e poi valuto come procedere.
Grazie!

TTaLe · 2 giorni fa

r00t Si puoi procedere tranquillamente con le VM in esecuzione in quanto non vengono impattate.

vCenter è solo una soluzione aggiuntiva a ESXi che mette a disposizione delle funzionalità aggiuntive in presenza di Cluster con più nodi ESXi, vSAN, etc.

Io do sempre un riavvio al vCenter dopo la sostituzione dei certificati (lo fai dalla webpage sulla porta 5480). Durante il riavvio non saranno disponibili le funzionalità di DRS (bilanciamento delle VM in presenza di più host) e HA.

Rr00t · 2 giorni fa

TaLe quindi consigli di riavviare comunque il Vcenter nonostante il riavvio automatico di tutti i servizi?
Grazie ancora.

FFrytz · 2025-04-26T21:29:45+00:00

@r00t ti confermo quanto detto da @TaLe, non ho mai usato quello script ma è un tool ufficiale quindi puoi andare tranquillo. Non è obbligatorio riavviare il vcenter, ma farlo non comporta alcun rischio quindi poco male...Il DRS anche se disattivato per il tempo del riavvio non crea problemi essendo solo in bilanciamento, l'HA solo se ti si spegne o diventa raggiungibile un host in un cluster composto da più host.

BBender06 · 2025-04-27T08:14:16+00:00

TaLe Durante il riavvio non saranno disponibili le funzionalità di DRS (bilanciamento delle VM in presenza di più host) e HA.

Solo per correggere una piccola inesattezza: HA funziona anche in assenza di vcenter una volta configurato.
Senza vcenter al massimo non puoi cambiare la configurazione, ma il failover va lo stesso.
Per quanto riguarda i certificati, se usa i default self signed, li può riemettere tutti, tanto se ce li ha importati in qualche altra parte per software di terze parti, dovrà comunque ridare il trust.
Se li ha emessi tramite csr e CA esterna, ovviamente il discorso è diverso, ma non mi pare questa la casistica.

TTaLe · 2025-04-27T09:52:17+00:00

Bender06 Confermo. Nel messaggio precedente non ho specificato che stavo parlando del Proactive HA, il quale necessità di vCenter.

r00t Non è necessario eseguire il riavvio. Io lo faccio in quanto con versione vecchie (6.5,6.7) mi è capitato più di qualche volta che al riavvio dei servizi funziona a tutto, ma con il riavvio completo non funzionava più nulla. (Risolto successivamente con lo script lsdoctor)

FFrytz · 2025-04-27T10:47:26+00:00

TaLe Ah ecco, era un problema delle vecchie versioni...io ho cominciato a lavorarci già con la 7.0U3 e fortunatamente mai avuto problemi simili (oltretutto la scadenza imprevista dei certificati è successa una sola volta per una svista, non siamo più arrivati a quel punto

Rr00t · 16 ore fa

Bender06
TaLe
Frytz

Grazie mille a tutti per i consigli e i chiarimenti.

Bender06 Per quanto riguarda i certificati, se usa i default self signed, li può riemettere tutti

Confermo lo scenario che hai ipotizzato, quindi deduco che posso procedere con l'opzione 8.

TaLe Non è necessario eseguire il riavvio. Io lo faccio in quanto con versione vecchie (6.5,6.7) mi è capitato più di qualche volta che al riavvio dei servizi funziona a tutto, ma con il riavvio completo non funzionava più nulla.

Frytz era un problema delle vecchie versioni...io ho cominciato a lavorarci già con la 7.0U3 e fortunatamente mai avuto problemi simili

Confermo che pure io sono con la v.7 quindi non dovrei incappare nel problema con i certificati.