vcenter证书过期,更新证书
1、检查vc证书是否过期:
在vcsa中分别执行如下命令,在每个命令的输出结果中会有 Not After的条目,检查该条目的时间是否已过期:
/usr/lib/vmware-vmafd/bin/vecs-cli entry list --store TRUSTED_ROOTS --text | less
/usr/lib/vmware-vmafd/bin/vecs-cli entry list --store MACHINE_SSL_CERT --text | less
/usr/lib/vmware-vmafd/bin/vecs-cli entry list --store machine --text | less
/usr/lib/vmware-vmafd/bin/vecs-cli entry list --store vpxd --text | less
/usr/lib/vmware-vmafd/bin/vecs-cli entry list --store vpxd-extension --text | less
/usr/lib/vmware-vmafd/bin/vecs-cli entry list --store vsphere-webclient --text | less
/usr/lib/vmware-vmafd/bin/vecs-cli entry list --store SMS --text | less
/usr/lib/vmware-vmafd/bin/vecs-cli entry list --store TRUSTED_ROOT_CRLS --text | less
然后再执行如下命令,查看证书到期时间:
for i in $(/usr/lib/vmware-vmafd/bin/vecs-cli store list); do echo STORE $i; /usr/lib/vmware-vmafd/bin/vecs-cli entry list --store $i --text | egrep "Alias|Not After"; done
2、检查vc sts证书是否过期,请参考KB:
https://kb.vmware.com/s/article/79248
使用KB中的checksts脚本检查证书有效性。
3、请提供以上命令输出结果,和vc服务的当前状态。
如果STS证书已过期,参考如下步骤更新证书
操作前,请先对vc虚拟机做一次内存快照。
如果STS证书已过期,参考如下步骤更新证书:
1、ssh登录到vc,使用KB附件中的fixsts.sh脚本更新STS证书,操作完成后,重启VCSA虚拟机,请参考:
https://kb.vmware.com/s/article/76719
2、vc重启后,再次使用 checksts 脚本确认STS证书是否已更新,请参考:
https://kb.vmware.com/s/article/79248
3、请参考KB,更新vc的其它证书:
https://kb.vmware.com/s/article/2097936
选择选项 8 进行操作,根据提示,在「Hostname」输入vc的FQDN,在VMCA Name输入与Hostname相同的值(如果是以ip部署的vc,请输入ip地址)。
如果第3步遇到问题无法继续,且checksts脚本确认STS证书已经更新,请参考参考如下kb vcsa部分:
操作前再次对VC做一次内存快照。
https://kb.vmware.com/s/article/2108379?lang=en_US
vCenter Server Appliance (VCSA):
1.Take an SSH connection to the affected VCSA machine(s) and execute these commands line by line:
export JAVA_BIN=/usr/java/jre-vmware/bin/java
export CLASSPATH=/opt/vmware/lib64/*:/usr/lib/vmware-sso/commonlib/*
export _SSO_ROOT_CERT_X509=/etc/vmware-sso/keys/ssoserverRoot.crt
export _SSO_SIGNING_LEAF_CERT_X509=/etc/vmware-sso/keys/ssoserverSign.crt
export _SSO_SIGNING_LEAF_CERT_KEY=/etc/vmware-sso/keys/ssoserverSign.key
$JAVA_BIN -cp $CLASSPATH com.vmware.identity.installer.STSInstaller --install --root-cert-path "$_SSO_ROOT_CERT_X509" --cert-path "$_SSO_SIGNING_LEAF_CERT_X509" --private-key-path "$_SSO_SIGNING_LEAF_CERT_KEY"
2.After you see the message Successfully installed VMware STS , reboot VCSA to ensure IDM/STS references the changed certificate and to allow the other services (VC, IS, NGC) to pick up this change.
3.然后再次启动 vSphere Certificate Manager,选择选项 8 更新证书。
如果确认STS证书未过期,就直接进行其它证书的更新。
请参考KB,更新vc的其它证书:
https://kb.vmware.com/s/article/2097936
选择选项 8 进行操作,根据提示,在「Hostname」输入vc的FQDN,在VMCA Name输入与Hostname相同的值(如果是以ip部署的vc,请输入ip地址)。
版权声明:
作者:SE_Meng
链接:https://www.cnesa.cn/1509.html
来源:CNESA
文章版权归作者所有,未经允许请勿转载。
共有 0 条评论