vCenter Server Appliance证书过期无法使用怎么办

2023年11月28日发(作者：)

故障诊断与处理

Trouble Shooting

Comment

vCenter Server Appliance

证书过期无法使用怎么办

■ 河北 王春海

当vCenter

编者按： 可能有人在使用vCenter Server时会遇到证

续订vCenter

Server的证书

书过期的问题，这将导致我们无法有效管理VMware虚

Server Appli

过期后将无法管

拟机。本文讨论的就是笔者近期碰到的一些vCenter

ance证书

理VMware虚拟

Server 6.5.0 U2（或从6.5.0 U2升级到6.5.0 U3或

因为客户的

机，管理员需要

6.7.0）证书过期导致无法使用vCenter Server问题的

vCenter Server

在证书过期之

解决案例及解决方法。

已经无法登录，

前续订或者更新

为了应急使用，

vCenter Server证书。

U2（或从6.5.0 U2升级到

可以将vCenter Server所

而如果vCenter Server

6.5.0 U3或6.7.0）证书过

在的ESXi主机时间修改为6

证书已经过期，可以登录到

期导致无法使用vCenter

月1日之前。

vCenter Server虚拟机所

Server问题的解决案例及解

当然也可以使用vSphere

在的ESXi主机，将ESXi主

决方法。

Host Client，登录vCenter

机时间改回到vCenter证书

在今年6月4日，客户向

Server所在的ESXi主机，修

有效时间内，然后重新启动

笔者表示，他们的vCenter

改ESXi主机的时间为6月1

vCenter Server虚拟机。在

Server无法登录，并在登录

号之前，比如2020年5月30

登录到vCenter Server管

时提示密码错误（用户密码

日。

理界面之后，就可以在系统

一直未改，因此确认不是输

登录到vCenter Server

管理中续订根证书了。

入错误也不是键盘的问题）。

Appliance管理界面（https:

但如果vCenter Server

笔者经过检查发现vCenter

//vc_ip:5480），首先检查

初始安装版本是6.5.0 U2，

Server的证书截止日期是

vCenter Server是否启用了

那么不管vCenter Server

2020年6月1日，证书已经

NTP，如果启用了NTP，则修改

6.5.0 U2是否升级到新的

过期。

vCenter Server与ESXi主

版本，还需要在VMware官网

机时间同步，如图1所示。

下载脚本来更换

说明：当前vCenter Server

重启vCenter Server

STS证书。

Appliance版本为6.7.0，是从

Appliance虚拟机，vCenter

下面是笔者近期碰到的

vCenter Server Appliance

Server在重启之后可以继续

一些vCenter Server 6.5.0

6.5.0 U2升级而来。

使用。

投稿信箱：

**********************

2020.10

143

Trouble Shooting

故障诊断与处理

责任编辑：赵志远

之后通过使用vSphere

Client登录vCenter Server，

续订vCenter Server计算机

证书。主要步骤如下。

1.使用 vSphere Client

登录到已连接到 Platform

Services Controller的

vCenter Server，然后使

用administrator@vsphere.

local身份登录。

2.点击进入“系统管

理→证书→证书管理”中，

在“服务器”文本框输入

“localhost”，在用户名中输

入“administrator@vsphere.

local”然后在密码中输入

administrator@vsphere.

local密码，单击“登录并管

理证书”，如图2所示。

3.在“证书管理”中，续

订“计算机SSL证书”，选择

“计算机SSL证书”，单击“操

作→续订”，如图3所示。

4.在弹出的“使用VMCA

续订证书”对话框中单击“续

订”按钮。

5.在“解决方案证书”中

单击“全部续订”链接，续订

所有的解决方案用户证书，

续订之后如图4所示。

6.在Platform Services

Controller上重新启动服

务。可以重新启动 Platform

Services Controller，或者stop --all

从命令行运行以下命令：service-control --

service-control -- start vmafdd

图3 续订证书

图2 登录并管理证书

图1 修改vCenter NTP方式

144

2020.10

投稿信箱：

**********************

责任编辑：赵志远

故障诊断与处理

Trouble Shooting

service-control --

start vmdird

service-control --

start vmcad

service-control --

start --all

如图5所示。

在经过了以上设置

之后，vCenter Server

图4 续订解决方案证书

Appliance证书经过续订

就可以继续使用了。

替换STS证书

而如果续订了证书之

后，并将vCenter Server

Appliance修改为了正确的

时间，这时vCenter Server

仍然无法登录或者提示密

码不对。那么这就需要在

/s/

article/767 19?lang=en_

US&query Term=76719上下

载一个名为的

脚本，然后上传到vCenter

Server Appliance中执行

该脚本，替换STS(Security

Token Service，安全令牌服

务)证书以解决这个问题。

当STS证书过期时，会

发生这些问题。内部服务和

解决方案用户无法获取有效

图5 重新启动服务

令牌，并且无法按预期工作。

当STS证书过期时，它不会

投稿信箱：

**********************

2020.10

145

Trouble Shooting

故障诊断与处理

责任编辑：赵志远

个SSO域只能运行一次该

脚本。

之后通过使用SSH登

录到vCenter Server，

并在/tmp文件夹中使用

vi 编辑新的

文件。然后在Windows

计算机上用“记事本”程

序打开下载的fixsts.

sh文件，复制所有内容，

并在vi中点击“insert”

按钮，粘贴所复制的内

容，点击ESC键，输入

“:wq”保存设置并退出。

然后执行以下命令：

chmod +x fixsts.

sh

./

图6 执行脚本

当在出现“Enter

password for admini

发出警告。在某些系统上，

此期限可能会在首次部署后

的两年内发生。在以下情况

下，STS签名证书的预期寿

命约为两年。

1.全新安装的vCenter

Server 6.5 U2或更高版本。

2.全新安装的PSC/vCen

ter Server 6.5 U2或任何

更高版本的6.5，并已升级

到更高的版本，包括6.7和

7.0。

3.在安装PSC或vCenter

Server之后，使用certool

替换了STS签名证书，STS签

名证书已替换为自定义证书

（内部/外部CA签名）。

*********************:”

的提示时，可以输入admin

**********************的

密码并按回车键，如图6所

示。

脚本执行完成后，依次执

注意：下载的名为fixsts.

sh脚本将与VMDIR的数据库进

行交互。运行脚本之前，请同

时为SSO域中的所有vCenter

Server和Platform Service

Controller制作脱机快照。每

行以下命令停止并重新启动

所有服务。

service-control --

stop --all

service-control --

start --all

146

2020.10

投稿信箱：

**********************

责任编辑：赵志远

故障诊断与处理

Trouble Shooting

用于vCenter Server App

.

form Services Controller，

liance的脚本下

com/s/article/79263

然后单击“Certificates→

载链接为：

Certificate Management”，

/

在vCenter Server App

在右侧服务器中输入“local

sfc/rd/ver

liance 6.5中续订证书

host”，然后输入SSO帐户和

sion/download/068f400000

如果是vCenter Server

密码登录。

HnqyiAAB

Appliance 6.0或6.5版本

2.在“计算机证书”中

的话，则可以登录VMware

单击“续订”链接，续订计算

关于“在vCenter Server

Platform Services Contro

机证书。

Appliance 6.5/6.7上使用

ller，来为vCenter Server

3.在“解决方案用户证

Shell脚本重新生成和替换

续订证书。

书”中单击“全部续订”项，

已过期的STS证书（76719）”

使用浏览器以“

续订所有解决方案证书，续

的KB地址为：

vCenter Server IP地址 /psc”

订之后的效果如图7所示。

.

的方式登录到VMware Plat

在续订计算机证书与所

com/s/article/76719?

form Services Controller。

有解决方案证书之后，参照

lang=en_US&queryTerm

下面通过具体的实例进行介

上文执行证书，

=76719

绍。

续订STS证书之后，重新启

而如果是Windows版

1.当前vCenter Server

动vCenter Server服务，

本的vCenter Server使用

Appliance的IP地址是

并将ESXi主机与vCenter

PowerShell脚本重新生成和

202.206.195.90，在浏览器

Server虚拟机调整为正确的

替换已过期的STS证书，KB

中输入“202.206.

时间，即可解决证书过期问

地址为：

195.90/psc”来登录Plat

题。

图7 续订解决方案证书

投稿信箱：

**********************

2020.10

147