帮助文档
专业提供香港服务器、香港云服务器、香港高防服务器租用、香港云主机、台湾服务器、美国服务器、美国云服务器vps租用、韩国高防服务器租用、新加坡服务器、日本服务器租用 一站式全球网络解决方案提供商!专业运营维护IDC数据中心,提供高质量的服务器托管,服务器机房租用,服务器机柜租用,IDC机房机柜租用等服务,稳定、安全、高性能的云端计算服务,实时满足您的多样性业务需求。 香港大带宽稳定可靠,高级工程师提供基于服务器硬件、操作系统、网络、应用环境、安全的免费技术支持。
服务器资讯 / 香港服务器租用 / 香港VPS租用 / 香港云服务器 / 美国服务器租用 / 台湾服务器租用 / 日本服务器租用 / 官方公告 / 帮助文档
VMware vCenter证书过期解决方法
发布时间:2024-03-09 16:26:49   分类:帮助文档
VMware vCenter证书过期解决方法



        

vCenter证书过期解决方法
 目录
1 概述   
2 详细操作步骤        
2.1 检查关键的STS证书是否过期并修复        
2.2 检查除STS证书外是否还有其余证书过期        
2.3 续订除STS和data-encipherment以外的证书        
2.4 续订data-encipherment证书        
2.5 删除BACKUP_STORES certificat        
3 FAQ        
3.1 VMCA为关键步骤,且不可逆,执行之前注意先生成快照。        
概述
vCenter内含各种证书,部分证书过期会导致登录webclient时,出现“获取身份认证程序时出错”(https://ip/ui),“no healthy upstream”(https://ip)的提示,导致无法登陆,错误代码500、400。本手册介绍证书过期问题的解决方法。

 
详细操作步骤

2.1 检查关键的STS证书是否过期并修复
STS 证书过期时不会触发证书到期警报。安全令牌服务(STS)证书过期时,将导致内部服务和解决方案用户无法获得有效的令牌,从而无法按预期工作在证书到期前3个月完成证书的更新及续签。
检查 vCenter Server 上 STS 证书的过期日期
(参考官方KB:https://kb.vmware.com/s/article/79248?lang=en_us)
上传检测脚本
脚本文件:

通过SCP协议将脚本问价上传至vCenter Server
以winscp工具为例,将脚本上传到新建的/tmp2目录




通过SSH协议登陆vCenter Server Appliance
输入shell,进入shell命令视图
执行chsh -s /bin/bash root,赋予root用户执行脚本权限:


执行脚本 python checksts.py


从结果得知STS没有过期。
注:如果STS过期,则执行修复脚本

,并重启服务:
service-control --stop --all
service-control --start --all
2.2 检查除STS证书外是否还有其余证书过期
完成关键的STS证书检测(和修复)后,检查其他证书到期情况
通过命令检查:
for store in $(/usr/lib/vmware-vmafd/bin/vecs-cli store list | grep -v TRUSTED_ROOT_CRLS); do echo "[*] Store :" $store; /usr/lib/vmware-vmafd/bin/vecs-cli entry list --store $store --text | grep -ie "Alias" -ie "Not After";done;


从结果得知:有多个证书已过期。
2.3 续订除STS和data-encipherment以外的证书
 通过VMCA 来重新生成 vSphere 6.x 证书
启动 vSphere Certificate Manager。
    对于vCenter Server 6.x Appliance:
/usr/lib/vmware-vmca/bin/certificate-manager
    对于 Windows vCenter Server 6.x:
C:\Program Files\VMware\vCenter Server\vmcad\certificate-manager


选择8或4,执行功能相同
根据 VMCA 的提示,输入以下项的值:


重点项:
Enter proper value for 'Hostname' [Enter valid Fully Qualified Domain Name(FQDN), For Example : example.domain.com] :这个值要和vCenter Server的主机名一致。
Enter proper value for VMCA 'Name' :  (注意:vCenter Server 6.0 U3、6.5 及更高版本将要求提供此信息,您可以在此字段中使用 vCenter Server 的 FQDN。 它将作为 VMCA 根证书的公用名) 没有配置FQDN就是用IP地址。
开始执行更新


………………………………………………


更新完成后会重启,再次用命令检查是否还有证书到期。
证书期限都正常后,访问vCenter WebClient,确认各项服务是否正常。
一般情况到此可解决问题,若不正常继续续订data-encipherment证书。

2.4 续订data-encipherment证书
参考官方KB:https://kb.vmware.com/s/article/88548?lang=en_US
续订、修复脚本



上传脚本,使用 SSH 会话连接到 vCenter Server
导航到存放脚本的 /tmp2目录:
cd /tmp2
运行chmod +x fix_encipherment_cert.sh使文件可执行。
运行./fix_encipherment_cert.sh
重新启动 VPXD 服务以使更改生效
service-control --stop vpxd
service-control --start vpxd


2.5 删除BACKUP_STORES certificat
参考KB:Clearing BACKUP_STORES certificates in the VCSA via shell script (82560)
VMware Knowledge Base

使用下列命令检查证书:
   for i in $(/usr/lib/vmware-vmafd/bin/vecs-cli store list); do echo STORE $i; /usr/lib/vmware-vmafd/bin/vecs-cli entry list --store $i --text | egrep "Alias|Not After"; done
如果 STORE BACKUP_STORE 下有过期或过期证书,请继续运行上传的脚本clean_backup_stores.sh


将脚本上传到 VCSA 到 /tmp2/ 目录
通过运行使脚本可执行:chmod +x clean_backup_stores.sh
使用以下命令运行脚本:./clean_backup_stores.sh
注意:您可能会收到错误消息:  -bash: ./clean_backup_stores.sh: /bin/bash^M: bad interpreter: No such file or directory。
如果是这样,请运行:  sed -i -e 's/\r$//' clean_backup_stores.sh
使用命令  service-control --stop --all && service-control --start --all重启服务
继续“确认”和“重置为绿色”任何与证书相关的警报
3 FAQ
VMCA为关键步骤,且不可逆,执行之前注意先生成快照。




香港云服务器租用推荐
服务器租用资讯
·广东云服务有限公司怎么样
·广东云服务器怎么样
·广东锐讯网络有限公司怎么样
·广东佛山的蜗牛怎么那么大
·广东单位电话主机号怎么填写
·管家婆 花生壳怎么用
·官网域名过期要怎么办
·官网邮箱一般怎么命名
·官网网站被篡改怎么办
服务器租用推荐
·美国服务器租用
·台湾服务器租用
·香港云服务器租用
·香港裸金属服务器
·香港高防服务器租用
·香港服务器租用特价