vcenter的ssl证书报错,更新证书失败 2020-09-24 虚拟化 暂无评论 5600 次阅读 1、检查vc证书是否过期: 在vcsa中分别执行如下命令,在每个命令的输出结果中会有 Not After的条目,检查该条目的时间是否已过期: ``` /usr/lib/vmware-vmafd/bin/vecs-cli entry list --store TRUSTED_ROOTS --text | less /usr/lib/vmware-vmafd/bin/vecs-cli entry list --store MACHINE_SSL_CERT --text | less /usr/lib/vmware-vmafd/bin/vecs-cli entry list --store machine --text | less /usr/lib/vmware-vmafd/bin/vecs-cli entry list --store vpxd --text | less /usr/lib/vmware-vmafd/bin/vecs-cli entry list --store vpxd-extension --text | less /usr/lib/vmware-vmafd/bin/vecs-cli entry list --store vsphere-webclient --text | less /usr/lib/vmware-vmafd/bin/vecs-cli entry list --store SMS --text | less /usr/lib/vmware-vmafd/bin/vecs-cli entry list --store TRUSTED_ROOT_CRLS --text | less ``` 然后再执行如下命令,查看证书到期时间: ``` for i in $(/usr/lib/vmware-vmafd/bin/vecs-cli store list); do echo STORE $i; /usr/lib/vmware-vmafd/bin/vecs-cli entry list --store $i --text | egrep "Alias|Not After"; done ``` 2、检查vc sts证书是否过期,请参考KB: https://kb.vmware.com/s/article/79248 使用KB中的checksts脚本检查证书有效性。 3、请提供以上命令输出结果,和vc服务的当前状态。 如果STS证书已过期,参考如下步骤更新证书 操作前,请先对vc虚拟机做一次内存快照。 如果STS证书已过期,参考如下步骤更新证书: 1、ssh登录到vc,使用KB附件中的fixsts.sh脚本更新STS证书,操作完成后,重启VCSA虚拟机,请参考: https://kb.vmware.com/s/article/76719 2、vc重启后,再次使用 checksts 脚本确认STS证书是否已更新,请参考: https://kb.vmware.com/s/article/79248 3、请参考KB,更新vc的其它证书: https://kb.vmware.com/s/article/2097936 选择选项 8 进行操作,根据提示,在「Hostname」输入vc的FQDN,在VMCA Name输入与Hostname相同的值(如果是以ip部署的vc,请输入ip地址)。 如果第3步遇到问题无法继续,且checksts脚本确认STS证书已经更新,请参考参考如下kb vcsa部分: 操作前再次对VC做一次内存快照。 https://kb.vmware.com/s/article/2108379?lang=en_US vCenter Server Appliance (VCSA): 1.Take an SSH connection to the affected VCSA machine(s) and execute these commands line by line: ``` export JAVA_BIN=/usr/java/jre-vmware/bin/java export CLASSPATH=/opt/vmware/lib64/*:/usr/lib/vmware-sso/commonlib/* export _SSO_ROOT_CERT_X509=/etc/vmware-sso/keys/ssoserverRoot.crt export _SSO_SIGNING_LEAF_CERT_X509=/etc/vmware-sso/keys/ssoserverSign.crt export _SSO_SIGNING_LEAF_CERT_KEY=/etc/vmware-sso/keys/ssoserverSign.key $JAVA_BIN -cp $CLASSPATH com.vmware.identity.installer.STSInstaller --install --root-cert-path "$_SSO_ROOT_CERT_X509" --cert-path "$_SSO_SIGNING_LEAF_CERT_X509" --private-key-path "$_SSO_SIGNING_LEAF_CERT_KEY" ``` 2.After you see the message Successfully installed VMware STS , reboot VCSA to ensure IDM/STS references the changed certificate and to allow the other services (VC, IS, NGC) to pick up this change. 3.然后再次启动 vSphere Certificate Manager,选择选项 8 更新证书。 如果确认STS证书未过期,就直接进行其它证书的更新。 请参考KB,更新vc的其它证书: https://kb.vmware.com/s/article/2097936 选择选项 8 进行操作,根据提示,在「Hostname」输入vc的FQDN,在VMCA Name输入与Hostname相同的值(如果是以ip部署的vc,请输入ip地址)。 标签: vcenter, 证书 本作品采用 知识共享署名-相同方式共享 4.0 国际许可协议 进行许可。