VMware vCenter Server证书过期解决方法

已于 2025-08-23 21:16:06 修改
阅读量6.6k 收藏 29
点赞数 9
CC 4.0 BY-SA版权
分类专栏: 运维 文章标签: 运维
于 2024-05-13 16:32:53 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_43490217/article/details/138808090
本文档详细介绍了如何检查和修复VMware vCenter Server的STS证书过期问题,包括检查证书状态、重启服务、重新分配证书等步骤,确保vSphere Client能够正常登录。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

目录

1.检查关键的STS证书是否过期并修复 

2.检查除STS证书外是否还有其余证书过期

3.重启服务

4.重新分配证书

1.检查关键的STS证书是否过期并修复 

检查 vCenter Server 上 STS 证书的过期日期

(参考官方:https://kb.vmware.com/s/article/79248?lang=en_us)

使用root连接VMware vCenter服务器后输入shell切换到命令行

如果可以上传checksts.py则上传后直接进行执行脚本的步骤

        创建临时目录:mkdir /temp0513

        切换进入新建目录:cd /temp0513

        编辑checksts.py:vim checksts.py

        将checksts.py中内容粘贴进去

执行脚本:python checksts.py

从结果可知STS未过期。如果STS过期,则执行修复脚本fixsts.sh(https://kb.vmware.com/s/article/76719)。执行前赋可执行权限:chmod +x fixsts.sh。运行脚本./fixsts.sh,会提示输入账户的密码。

2.检查除STS证书外是否还有其余证书过期

通过以下命令检查:

for store in $(/usr/lib/vmware-vmafd/bin/vecs-cli store list | grep -v TRUSTED_ROOT_CRLS); do echo "[*] Store :" $store; /usr/lib/vmware-vmafd/bin/vecs-cli entry list --store $store --text | grep -ie "Alias" -ie "Not After";done;

从运行结果可看出,多个证书已过期。 

3.重启服务

service-control --stop --all && service-control --start –all

 等到启动超时或者在mware-vmon服务启动后中止启动。

4.重新分配证书

通过VMCA 来重新生成 vSphere 6.x (vCenter Server 的内部版本号通过shell提示符下键入“vpxd -v”查询)证书,启动 vSphere Certificate Manager。

对于vCenter Server 6.x Appliance:

/usr/lib/vmware-vmca/bin/certificate-manager

对于 Windows vCenter Server 6.x:

C:\Program Files\VMware\vCenter Server\vmcad\certificate-manager

输入“8”按提示填写,部分选项可回车直接跳过按默认值设置

着重需注意的项:

Enter proper value for 'IPAddress' (Provide comma separated values for multiple IP addresses) [optional] : 不能填127.0.0.1,应写实际IP。

Enter proper value for 'Hostname' [Enter valid Fully Qualified Domain Name(FQDN), For Example : example.domain.com] :这个值和vCenter Server的主机名一致或者填IP。

Enter proper value for VMCA 'Name' :  (注意:vCenter Server 6.0 U3、6.5 及更高版本将要求提供此信息,您可以在此字段中使用 vCenter Server 的 FQDN。 它将作为 VMCA 根证书的公用名) 没有配置FQDN就使用IP地址。

执行完出现Reset status : 100% Completed [Reset completed successfully]

再访问vSphere Client可正常登录。

root@photon-machine [ /temp0513 ]# /usr/lib/vmware-vmca/bin/certificate-manager

                 _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _

                |                                                                     |

                |      *** Welcome to the vSphere 6.7 Certificate Manager  ***        |

                |                                                                     |

                |                   -- Select Operation --                            |

                |                                                                     |

                |      1. Replace Machine SSL certificate with Custom Certificate     |

                |                                                                     |

                |      2. Replace VMCA Root certificate with Custom Signing           |

                |         Certificate and replace all Certificates                    |

                |                                                                     |

                |      3. Replace Machine SSL certificate with VMCA Certificate       |

                |                                                                     |

                |      4. Regenerate a new VMCA Root Certificate and                  |

                |         replace all certificates                                    |

                |                                                                     |

                |      5. Replace Solution user certificates with                     |

                |         Custom Certificate                                          |

                |                                                                     |

                |      6. Replace Solution user certificates with VMCA certificates   |

                |                                                                     |

                |      7. Revert last performed operation by re-publishing old        |

                |         certificates                                                |

                |                                                                     |

                |      8. Reset all Certificates                                      |

                |_ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _|

Note : Use Ctrl-D to exit.

Option[1 to 8]: 8

Do you wish to generate all certificates using configuration file : Option[Y/N] ? : y

Please provide valid SSO and VC privileged user credential to perform certificate operations.

Enter username [Administrator@vsphere.local]:Administrator@vsphere.local

Enter password:

Please configure certool.cfg with proper values before proceeding to next step.

Press Enter key to skip optional parameters or use Default value.

Enter proper value for 'Country' [Default value : US] : cn

Enter proper value for 'Name' [Default value : CA] :

Enter proper value for 'Organization' [Default value : VMware] :

Enter proper value for 'OrgUnit' [Default value : VMware Engineering] :

Enter proper value for 'State' [Default value : California] : Beijing

Enter proper value for 'Locality' [Default value : Palo Alto] : Beijing

Enter proper value for 'IPAddress' (Provide comma separated values for multiple IP addresses) [optional] : 192.168.1.101

Enter proper value for 'Email' [Default value : email@acme.com] :

Enter proper value for 'Hostname' (Provide comma separated values for multiple Hostname entries) [Enter valid Fully Qualified Domain Name(FQDN), For Example : example.domain.com] : photon-machine

Enter proper value for VMCA 'Name' :192.168.1.101

Continue operation : Option[Y/N] ? : y

You are going to reset by regenerating Root Certificate and replace all certificates using VMCA

Continue operation : Option[Y/N] ? : y

Get site nameCompleted [Reset Machine SSL Cert...]

default-site

Lookup all services

Get service default-site:1e430efa-1546-420b-ba83-fbddc457aeb6

Update service default-site:1e430efa-1546-420b-ba83-fbddc457aeb6; spec: /tmp/svcspec_04ml9i9_

Get service default-site:14bd50f6-95ac-4c70-a0b1-4ef46c35aad8

Update service default-site:14bd50f6-95ac-4c70-a0b1-4ef46c35aad8; spec: /tmp/svcspec_eav5shh2

Get service default-site:b6e53159-6d48-42c0-926d-720b7b852e5d

Update service default-site:b6e53159-6d48-42c0-926d-720b7b852e5d; spec: /tmp/svcspec__4eu54nw

Get service 2b573631-cd21-4f7e-af44-c5e95af4965b

Update service 2b573631-cd21-4f7e-af44-c5e95af4965b; spec: /tmp/svcspec_s3tz7vci

Get service 33e45071-803b-4fdf-a508-91668e787e95_com.vmware.vsphere.client

Don't update service 33e45071-803b-4fdf-a508-91668e787e95_com.vmware.vsphere.client

Get service f84708fd-9c9a-4535-bb8e-3e8c9f3c8c3e

Update service f84708fd-9c9a-4535-bb8e-3e8c9f3c8c3e; spec: /tmp/svcspec_7ouagxqf

Get service 33e45071-803b-4fdf-a508-91668e787e95

Update service 33e45071-803b-4fdf-a508-91668e787e95; spec: /tmp/svcspec_rgyn4426

Get service 118dacb1-c8ee-4ad2-9af6-0e6cb33f9e99

Update service 118dacb1-c8ee-4ad2-9af6-0e6cb33f9e99; spec: /tmp/svcspec_oksvwxd1

Get service 98d56b00-2eb1-4b98-a9b1-c6661c6eb8e6

Update service 98d56b00-2eb1-4b98-a9b1-c6661c6eb8e6; spec: /tmp/svcspec_w9azwaut

Get service 25055023-82e3-4303-879d-aa69a134072f

Update service 25055023-82e3-4303-879d-aa69a134072f; spec: /tmp/svcspec_2ekdtha3

Get service 9384f837-1b58-4ce3-b7fe-898b87350d2a

Update service 9384f837-1b58-4ce3-b7fe-898b87350d2a; spec: /tmp/svcspec_f9lvy5kb

Get service 4b5d2ffe-c300-4e87-b1e4-c39dde9b405c

Update service 4b5d2ffe-c300-4e87-b1e4-c39dde9b405c; spec: /tmp/svcspec_pmhip0e9

Get service 9e58c39c-6897-4e23-908e-1f67278f994f

Update service 9e58c39c-6897-4e23-908e-1f67278f994f; spec: /tmp/svcspec_vt4w3ccr

Get service 8ce6f9b5-50d6-46ad-956f-26736d8a8b05

Update service 8ce6f9b5-50d6-46ad-956f-26736d8a8b05; spec: /tmp/svcspec_peomqfj3

Get service b4b09589-8f0b-4e9a-9a47-e5d2aea29957

Update service b4b09589-8f0b-4e9a-9a47-e5d2aea29957; spec: /tmp/svcspec_83flstwn

Get service de3ef350-2ed0-4fd5-953d-6154b5ed58e2

Update service de3ef350-2ed0-4fd5-953d-6154b5ed58e2; spec: /tmp/svcspec_mp6vjit0

Get service a93c3df1-5729-495c-8e1b-47c5b4bc7d89

Update service a93c3df1-5729-495c-8e1b-47c5b4bc7d89; spec: /tmp/svcspec_2mbaphkm

Get service 6c18ec84-ffab-4590-8c07-5589157b6c69

Update service 6c18ec84-ffab-4590-8c07-5589157b6c69; spec: /tmp/svcspec_ri9y7qqi

Get service 17b2924d-34c7-4f7b-a218-b85e8544e73f

Update service 17b2924d-34c7-4f7b-a218-b85e8544e73f; spec: /tmp/svcspec_sp6qv_v_

Get service a27e854e-1aed-46d9-8e10-00bd56bb8357

Update service a27e854e-1aed-46d9-8e10-00bd56bb8357; spec: /tmp/svcspec_o7znyz2w

Get service 12d09f47-997a-43a4-a628-15bdb883bdd6_kv

Update service 12d09f47-997a-43a4-a628-15bdb883bdd6_kv; spec: /tmp/svcspec_iz8779qf

Get service c9dc859c-ffc5-435b-8874-efa9794fe197

Update service c9dc859c-ffc5-435b-8874-efa9794fe197; spec: /tmp/svcspec_mwdp0inz

Get service fb3d3e66-c58e-4dc8-8db0-0316aa439f30

Update service fb3d3e66-c58e-4dc8-8db0-0316aa439f30; spec: /tmp/svcspec_qj3vjxto

Get service 12d09f47-997a-43a4-a628-15bdb883bdd6

Update service 12d09f47-997a-43a4-a628-15bdb883bdd6; spec: /tmp/svcspec_3wz6g03m

Get service 21535e50-e4bd-421b-ac01-8eca45c23420

Update service 21535e50-e4bd-421b-ac01-8eca45c23420; spec: /tmp/svcspec_caotnowk

Get service 593ac227-54fa-4283-8716-3ded93c6e7cb

Update service 593ac227-54fa-4283-8716-3ded93c6e7cb; spec: /tmp/svcspec_85jdsili

Get service ce117814-bd0e-4bad-bd91-0ff8f243652e

Update service ce117814-bd0e-4bad-bd91-0ff8f243652e; spec: /tmp/svcspec_7celn7us

Get service 3a98f087-ede8-4285-bae6-058a91af1ff1

Update service 3a98f087-ede8-4285-bae6-058a91af1ff1; spec: /tmp/svcspec_fcxg49eg

Get service 444680a5-cb9a-4b7e-9858-fbb1b6624b5b

Update service 444680a5-cb9a-4b7e-9858-fbb1b6624b5b; spec: /tmp/svcspec_8j59l3cu

Get service e2f83ca1-b69c-4fb5-8c26-e4612e1dd8b3

Update service e2f83ca1-b69c-4fb5-8c26-e4612e1dd8b3; spec: /tmp/svcspec_umu1dhz1

Get service 6fbfc3d6-ccb2-444b-b9d3-d3509dc03e61

Update service 6fbfc3d6-ccb2-444b-b9d3-d3509dc03e61; spec: /tmp/svcspec_rw0r_wbb

Get service 42c1c1f4-6bd0-4076-951b-7d85a0bfc087

Update service 42c1c1f4-6bd0-4076-951b-7d85a0bfc087; spec: /tmp/svcspec_ehl2gcs_

Get service 0ecb83b8-cd86-4428-83a8-7eb2fe80276b

Update service 0ecb83b8-cd86-4428-83a8-7eb2fe80276b; spec: /tmp/svcspec_1ldd52l4

Get service 12d09f47-997a-43a4-a628-15bdb883bdd6_authz

Update service 12d09f47-997a-43a4-a628-15bdb883bdd6_authz; spec: /tmp/svcspec_gia5k1_4

Get service c779900e-00b2-40ac-9200-35a983584463

Update service c779900e-00b2-40ac-9200-35a983584463; spec: /tmp/svcspec_q6smxhs8

Updated 34 service(s)

Status : 60% Completed [Reset vpxd-extension Cert...]

2024-05-13T05:04:20.091Z  Updating certificate for "com.vmware.vim.eam" extension

2024-05-13T05:04:20.521Z  Updating certificate for "com.vmware.rbd" extension

2024-05-13T05:04:20.954Z  Updating certificate for "com.vmware.imagebuilder" extension

Reset status : 100% Completed [Reset completed successfully]

vCenter证书过期解决方法及历史证书删除】
weixin_42408399的博客
01-09 1727
针对 VMware vCenter Server 中的各种证书过期问题的解决办法,涵盖了从发现问题到最终解决的一系列操作流程。首先介绍了证书过期可能导致的问题现象如‘https请求异常’,随后逐步深入指导用户进行STSService Token Service)证书的有效性检查及必要的修正工作(包括停止与重新启动相关服务),再扩展至剩余非STS及data-encipherment类别的证书检查与更新指南,并特别提供了针对data-encipherment加密方式下证书的专项处理流程以及删除过期证书
vCenter6.7登录报错503或登录时报错“请提供用户名和密码“等证书过期问题,VMware vCenter证书更新方法
CrossProblems的博客
01-04 4414
一月 Jan;二月 Feb;三月 Mar;四月 Apr;五月 May;六月 Mun;七月 Jul;八月 Aug;九月 Sept;十月 Oct;十一月 Nov;十二月 Dec。之后建议按照步骤进行排查,但是也可以碰运气直接使用certificate-manager重置所有证书,具体流程查看章节[5 使用certificate-manager重新注册所有证书](#5 使用certificate-manager重新注册所有证书)
VCenter SSL过期,登录提示HTTP 500错误解决办法
最新发布
枫蓝驿的博客
07-01 1011
登录vmware esxi,双击打开VCenter 控制台黑窗口,根据提示按F2键 两次,打开系统设置(有fn键使用fn+F2键)开启BASH和SSH,选中按回车可更改状态,⚠️右侧提示is Enabled为开启。正常登录成功是command窗口,需要输入“shell”,切换为shell环境。完成后,输入VCenter地址已经没有500错误。登录后查看SSL有效期,后面提示过期及时续订。然后使用终端工具输入ip ssh登录,# 根据提示输入相关信息并续订证书。输入root密码,按回车登录。
VMware vCenter Server 证书过期解决
万物皆可学
07-25 1万+
6.从这个官方页面下载fixsts.sh,懒的话可以直接在/tmp下新建个fixsts.sh脚本文件,将下面的代码复制进去:https://kb.vmware.com/s/article/76719。1.官网下载证书检测文件checksts.py:https://kb.vmware.com/s/article/79248?lang=en_us。3.checksts.py文件上传到/tmp目录下(懒的话可以直接在/tmp将下面新建个checksts.py文件,将下面代粘贴进去)执行以下命令替换证书配置。
vmware vcsa证书过期处理
有莘不破的博客
12-04 2722
你遇到过vcsa证书过期无法登录的问题么?可以参考看看
vCenter 证书过期无法登录处理方法
weixin_44048054的博客
07-15 4645
由于一个或多个 vCenter Server 系统的凭据无效,登录失败: https://xx.xx.xx.xx:xx/sdk”登录vCenter控制台,Alt+F3切换至命令行模式,使用root登录,更改系统时间为过期前时间。更改时间完毕后再刷新VMware vCenter Serverr登录页面后恢复正常,登录系统。然后再次重新登录VMware vCenter Serverr页面,至此处理完毕。续订完毕后再次登录到ssh页面,修改回当前时间,如下。注意:更改时间前建议先做快照,避免风险。
一种VMware vCenter证书过期的续期方法
forestqq的博客
12-29 1万+
VMware vCenter证书过期,会导致服务器无法正常登录。官网上的指导方法是使用checksts.py检查,使用fixsts.sh进行修复,还可以用/usr/lib/vmware-vmca/bin/certificate-manager证书管理工具来重置所有证书。本文探讨用另一种非命令行的方法来进行续期。
VMware vCenter证书过期解决方法
热门推荐
autoset的博客
12-09 3万+
vCenter内含各种证书,部分证书过期会导致登录webclient时,出现“获取身份认证程序时出错”(https://ip/ui),“no healthy upstream”(https://ip)的提示,导致无法登陆,错误代码500、400。注意:您可能会收到错误消息: -bash: ./clean_backup_stores.sh: /bin/bash^M: bad interpreter: No such file or directory。STS 证书过期时不会触发证书到期警报。
vcenter升级过期证书
weixin_46092268的博客
07-22 6208
vcenter升级各种过期证书
Vcenter证书过期解决方案
樱岛麻衣的博客
06-22 2149
情况描述:登录Vcenter时输入正确密码提示:请输入用户名和密码。输入错误密码提示密码错误。原因: STS 证书过期1.使用root账户通过ssh登录,输入shell切换到命令行2.可通过https://kb.vmware.com/s/article/79248?lang=en_us下载checksts.py。4.checkstst.py执行权限5.执行检测文件checksts.py显示证书情况。
vmware证书过期问题处理相关脚本
12-29
包含以下资源: checksts.py clean_backup_stores.sh fix_encipherment_cert.sh fixsts.sh
使用Vcenter appliance自带证书系统更新证书
01-08
因为vcenter安装后会自动颁发一张默认证书,如果你更改了主机名等信息,则证书中的信息和现在的信息不符,会造成即使安装了证书,但是仍然提示未信任该证书的提示,可以使用Vcenter appliance自带证书系统更新证书
最全VMware vCenter各版本SSL过期时间汇总
我在Citrix、VMware、Veeam、微软和NVIDIA等领域拥有丰富经验的专业人士,专注于设计和维护虚拟化基础设施、实施备份与灾难恢复策略,致力于优化企业的IT环境。
11-14 2174
最全VMware vCenter各版本SSL过期时间汇总
VMware vCenter Server 5.5 中过期的 SSL 证书进行恢复
weixin_33913377的博客
01-01 3209
由于 VMware 不会为 vCenter Server、vSphere Web Client 和 Log Browser 服务使用 VMware SSL 证书自动化工具,在继续操作之前,您需要手动为这些服务创建 rui.pfx 文件。1.以管理员身份打开提升的命令提示符。 2.将目录更改为 OpenSSL 二进制文件的位置。 VMware 使用安装到 Inventory ...
VMware证书过期解决方法
yhf9981的博客
06-30 374
如果BACKUP_STORES下也有过期证书则vc会报警。则运行下方代码后再次运行脚本。
VMware vCenterVMware vCenter Server(VCSA) 5.5 版本证书过期问题处理过程。
weixin_30607125的博客
09-13 2271
之前帮客户处理了一个因证书过期导致 vCenter Server 无法登录的问题,在此记录一下,因为时间过去有点久了,可能会有些地方描述的不是很清楚,所以就当作参考就行。客户环境是一个非常老的 vCenter Server 5.5 版本并基于 Linux 版本的 VCSA (当时这个版本还有基于 Windows 的,注意区别),早期可以使用基于 C# 开发的 Windows 客户端进行访问和管理...
vmware环境(vcenter许可证过期问题)
二月鸟
03-16 1852
vcenter client 上面的虚拟机与exsi全部断开连接。
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值