Hallo zusammen,
habe heute vormittag das Upgrade meines vCenter 5.1 auf 5.5 u2 gemacht.
Die installation verlief ohne Probleme.
Es besteht jedoch en Problem mit dem SSO.
Wenn ich mich am Webclient mit meinem Domänen-Account oder mit administrator@vsphere.local anmelde funktioniert die Anmeldung, jedoch bekomm ich oben im Browser die Fehlermeldung:
Verifizieren des SSL-Zertifikats für ein oder mehrere vCenter Server-Systeme fehlgeschlagen:
https://servername:443/sdk
https://servername:443/sdk
Ich sehe im Webclient auch meinen vCenter Server nicht.
Am vSphere Client kann ich mich mit "administrator@vsphere.local" Anmelden und es funktioniert alles.
Versuche ich mich mit meinem Domänen-Account an vSphere Client anzmelden, bekomme ich die Fehlermeldung
"Sie haben keine Berechtigung für die Anmeldung am Server ..."
Was muss ich tun?
Vielen Dank für die Unterstützung.
Gruß
Benno
Die Foren-SW läuft ohne erkennbare Probleme. Sollte doch etwas nicht funktionieren, bitte gerne hier jederzeit melden und wir kümmern uns zeitnah darum. Danke!
[solved] vCenter Upgrade 5.1 -> 5.5 Fehler SSL Zertifikat
-
irix
- King of the Hill
- Beiträge: 13063
- Registriert: 02.08.2008, 15:06
- Wohnort: Hannover/Wuerzburg
- Kontaktdaten:
Hmm... mal so allgemein
1. Jeder Account welcher ueber eine Identitiaetsquelle, welche dem SSO bekannt gemacht wurde, authentifiziert werden kann erhaelt Zugriff auf den Webclient. Das betrifft somit alle Accounts aus einem angebundenen Windows AD.
Ob und was man dann sieht wird nicht ueber den SSO/Webclient geregelt sondern haengt von den Permissions hab welche man an der Anwendung hat welche sich an das SSO gekoppelt hat. Das kann ein vCenter sein.
Also vergebe/kontrolliere die Permissions im vCenter in dem du dich mit dem alten vSphere Client verbindest. Probier hier den administrator@vpshere .local oder den alten admin@system-domain. Kontrolliere ob du im vCenter Berechtigungen vergeben kannst basierend auf deinen AD Usern/Gruppen.
2. Nur der SSO Admin kann Identitiaetsquellen editieren im SSO. Alle anderen Benutzer sehen die Menueintraege nicht.
3. Das die Funktion ueber das Plugin bzw. Checkbox im vSphere Client um sich mit den vorhandenen Windows Credentials anzumelden hakelig ist bzw. mal in dem einen oder anderen Client nur funktioniert ist bekannt. Da gibts dann ein paar KBs zum Thema. Als Workaround schreib halt haendisch domain\user in das Anmeldefeld
4. Aus deiner Beschreibung ueber das SSL Zertifikatsproblem ist nicht klar ob es ein Fehler oder eine Warnung ist. Eine Warnung des Browsers ist normal da VMware Zertifikate niemals ihr RootCA im hinterlegt haben bzw. je nach Fall der CommonName nicht passt. Allerdings wird seit einigen Versionen der AlternateName dafuer verwendet.
Ansonsten poste mal bitte einen Screenshot.
Gruss
Joerg
1. Jeder Account welcher ueber eine Identitiaetsquelle, welche dem SSO bekannt gemacht wurde, authentifiziert werden kann erhaelt Zugriff auf den Webclient. Das betrifft somit alle Accounts aus einem angebundenen Windows AD.
Ob und was man dann sieht wird nicht ueber den SSO/Webclient geregelt sondern haengt von den Permissions hab welche man an der Anwendung hat welche sich an das SSO gekoppelt hat. Das kann ein vCenter sein.
Also vergebe/kontrolliere die Permissions im vCenter in dem du dich mit dem alten vSphere Client verbindest. Probier hier den administrator@vpshere .local oder den alten admin@system-domain. Kontrolliere ob du im vCenter Berechtigungen vergeben kannst basierend auf deinen AD Usern/Gruppen.
2. Nur der SSO Admin kann Identitiaetsquellen editieren im SSO. Alle anderen Benutzer sehen die Menueintraege nicht.
3. Das die Funktion ueber das Plugin bzw. Checkbox im vSphere Client um sich mit den vorhandenen Windows Credentials anzumelden hakelig ist bzw. mal in dem einen oder anderen Client nur funktioniert ist bekannt. Da gibts dann ein paar KBs zum Thema. Als Workaround schreib halt haendisch domain\user in das Anmeldefeld
4. Aus deiner Beschreibung ueber das SSL Zertifikatsproblem ist nicht klar ob es ein Fehler oder eine Warnung ist. Eine Warnung des Browsers ist normal da VMware Zertifikate niemals ihr RootCA im hinterlegt haben bzw. je nach Fall der CommonName nicht passt. Allerdings wird seit einigen Versionen der AlternateName dafuer verwendet.
Ansonsten poste mal bitte einen Screenshot.
Gruss
Joerg
Hallo Joerg,
danke für deine Antwort.
Inzwischen habe ich das Problem gefunden aber noch nicht lösen können :0
Das Problem liegt an der Fehlermeldung:
"Die vCenter-Zertifikate sind zu schwach und werden ab vCenter Server 5.5.u1 nicht mehr unterstützt"
Im Verzeichnis "c:\Pgramm Data\vmware\Vmware virtual center\SSL" das Zertifkat "rui.key" hat einen RSA 512 BIts.
Was für 5.5 zu wenig ist.
Ich kann mich im Webclient mit administrato@vsphere.local anmelden und kann mich mit meinem Domänen-Account anmelden, jedoch sehe ich keinen vCenter Server.
Im vsphere Client kann ich mich mit "administrator@vsphere.local" und meinem Domänen-Account anmelden.
Was habe ich bisher gemacht. Habe mich ans KB von Vmware http://kb.vmware.com/kb/2074942 gehalten.
openssl_config.cfg erstellt:
usw. ...
Die drei neuen Zertifikate (rui.crt, rui.key und rui.pfx) hat er erstellt.
Leider komme ich dann nicht mehr weiter. am ende des KB steht mann soll hier weitermachen http://kb.vmware.com/selfservice/search.do?cmd=displayKC&docType=kc&docTypeID=DT_KB_1_1&externalId=2061973
Hir fehlen mir leider die Kenntnisse um die neuen Zertifikate zu aktiveren.
als Anhang noch die Fehlermeldung welche im webClient angezeigt wird.
Gruss
danke für deine Antwort.
Inzwischen habe ich das Problem gefunden aber noch nicht lösen können :0
Das Problem liegt an der Fehlermeldung:
"Die vCenter-Zertifikate sind zu schwach und werden ab vCenter Server 5.5.u1 nicht mehr unterstützt"
Im Verzeichnis "c:\Pgramm Data\vmware\Vmware virtual center\SSL" das Zertifkat "rui.key" hat einen RSA 512 BIts.
Was für 5.5 zu wenig ist.
Ich kann mich im Webclient mit administrato@vsphere.local anmelden und kann mich mit meinem Domänen-Account anmelden, jedoch sehe ich keinen vCenter Server.
Im vsphere Client kann ich mich mit "administrator@vsphere.local" und meinem Domänen-Account anmelden.
Was habe ich bisher gemacht. Habe mich ans KB von Vmware http://kb.vmware.com/kb/2074942 gehalten.
openssl_config.cfg erstellt:
Code: Alles auswählen
[ req ]
default_bits = 2048
default_keyfile = rui.key
distinguished_name = req_distinguished_name
encrypt_key = no
prompt = no
string_mask = nombstr
req_extensions = v3_req
[ v3_req ]
basicConstraints = CA:FALSE
keyUsage = digitalSignature, keyEncipherment, dataEncipherment
extendedKeyUsage = serverAuth, clientAuth
subjectAltName = DNS: vc55-1, IP:10.0.0.10, DNS:vc51-1.vmware.com
[ req_distinguished_name ]
countryName = US
stateOrProvinceName = NY
localityName = New York
0.organizationName = VMWare
organizationalUnitName = vCenterUniqueServer
commonName = vc55-1.vmware.comusw. ...
Die drei neuen Zertifikate (rui.crt, rui.key und rui.pfx) hat er erstellt.
Leider komme ich dann nicht mehr weiter. am ende des KB steht mann soll hier weitermachen http://kb.vmware.com/selfservice/search.do?cmd=displayKC&docType=kc&docTypeID=DT_KB_1_1&externalId=2061973
Hir fehlen mir leider die Kenntnisse um die neuen Zertifikate zu aktiveren.
als Anhang noch die Fehlermeldung welche im webClient angezeigt wird.
Gruss
so, nachdem ich heute weiter auf Fehlersuche war, bin ich ein wenig weitergekommen.
nun habe ich die Fehlermeldung nur noch 1x im Webclient
Verifizieren des SSL-Zertifikats für ein oder mehrere vCenter Server-Systeme fehlgeschlagen:
https://serverfqdn:443/sdk
https://serverfqdn:443/sdk Diese ist weg!
Habe mich an dieses Tutorial gehalten um die Zertifiate zu erneuern.
http://www.elasticsky.de/2014/04/vcenter-5-5-aktualisierung-self-signed-zertifikat/
Nun kann ich mich auch wieder mit meinem Domänen-Account im Web-Client anmelden und habe zugriff auf meinen vCenter.
@Joerg wenn du den KB Eintrag findes wäre super. würde die Fehlermeldung gerne auch noch wegbekommen.
Oder eine andere Idee woher die Fehlermeldung kommt?
Danke
nun habe ich die Fehlermeldung nur noch 1x im Webclient
Verifizieren des SSL-Zertifikats für ein oder mehrere vCenter Server-Systeme fehlgeschlagen:
https://serverfqdn:443/sdk
https://serverfqdn:443/sdk Diese ist weg!
Habe mich an dieses Tutorial gehalten um die Zertifiate zu erneuern.
http://www.elasticsky.de/2014/04/vcenter-5-5-aktualisierung-self-signed-zertifikat/
Nun kann ich mich auch wieder mit meinem Domänen-Account im Web-Client anmelden und habe zugriff auf meinen vCenter.
@Joerg wenn du den KB Eintrag findes wäre super. würde die Fehlermeldung gerne auch noch wegbekommen.
Oder eine andere Idee woher die Fehlermeldung kommt?
Danke
Ting hat geschrieben:so, nachdem ich heute weiter auf Fehlersuche war, bin ich ein wenig weitergekommen.
nun habe ich die Fehlermeldung nur noch 1x im Webclient
Verifizieren des SSL-Zertifikats für ein oder mehrere vCenter Server-Systeme fehlgeschlagen:
https://serverfqdn:443/sdk
https://serverfqdn:443/sdk Diese ist weg!
Habe mich an dieses Tutorial gehalten um die Zertifiate zu erneuern.
http://www.elasticsky.de/2014/04/vcenter-5-5-aktualisierung-self-signed-zertifikat/
Nun kann ich mich auch wieder mit meinem Domänen-Account im Web-Client anmelden und habe zugriff auf meinen vCenter.
@Joerg wenn du den KB Eintrag findes wäre super. würde die Fehlermeldung gerne auch noch wegbekommen.
Oder eine andere Idee woher die Fehlermeldung kommt?
Danke
So, nach ein paar Tagen Urlaub habe ich nun auch den zweiten Fehler entfernen können. Das Problem lag daran, dass zwei vCenter Server Instancen registriert waren.
Konnte es anhand von dem KB Beitrag entfernen.
http://kb.vmware.com/kb/2050273
@Jörg, Danke für deine Unterstützung.
Gruß
Benno
P.s. Beitrag kann als gelöst markiert werden.
Zurück zu „vSphere 5.5 / ESXi 5.5“
Wer ist online?
Mitglieder in diesem Forum: 0 Mitglieder und 10 Gäste