vCenter使用 VMCA 续订证书:续订证书时发生意外错误

vCenter使用 VMCA 续订证书:续订证书时发生意外错误

起因:有一处客户vCenter告警:STS签名证书即将过期。

处理办法:系统管理-证书-证书管理,选择STS证书,操作,使用vCenter证书刷新;

强制刷新,即可。

提示重启,重启后,STS证书正常。然而,接下来在更新计算机SSL证书时却遇到问题了:续订证书时发生意外错误。如下图:

在之前很多客户遇到过证书到期无法登陆的时候,使用certificate-manager更新证书,参考:解决vCenter6.x由于证书过期问题无法登录,第二章第7节,本次继续采用该方式更新证书。

1、查询证书:

for i in $(/usr/lib/vmware-vmafd/bin/vecs-cli store list); do echo STORE $i; /usr/lib/vmware-vmafd/bin/vecs-cli entry list --store $i --text | egrep "Alias|Not After"; done

查询证书到期时间,显示部分证书到期时间为2023年1月4日。

2、更新证书:

使用ssh工具登录vCenter虚拟机(如果没有开启ssh需要登录5480端口开启ssh,建议更新前对vCenter做一下备份或者快照,以免遇到问题还能回退。)

/usr/lib/vmware-vmca/bin/certificate-manager

按照提示输入数字 8

根据提示,在「Hostname」输入vc的FQDN,在VMCA Name输入与Hostname相同的值(如果是以ip部署的vc,请输入ip地址)。

等待进度提示100%完成。

100% Completed [All tasks completed successfully]

无需重启,返回vCenter检查,证书已经更新成功。

dinghui.org

关注虚拟化及IT技术发展!

6条评论

無法登入vcenter – 愛玩的貓 发布于16:00 - 2023年05月9日

[…] vCenter使用 VMCA 续订证书:续订证书时发生意外错误 – 丁辉博客 (dinghui.org) […]

RR 发布于19:57 - 2023年03月23日

您好,我在更新证书时遇到了以下问题,请问是否方便帮忙诊断一下呢:

一台用IP部署的VCSA 7.0U2d(7.0.2.00500),通过certificate-manager更新证书失败,vpxd-svcs起不来。Hostname和VMCA Name我都是填写的IP地址(也试过填localhost,但也无法更新证书)。

vpxd-svcs日志报错的开头为“Init pool encountered exception: com.vmware.cis.server.util.except 7.0ion.VpxdClientException”。

请问这是哪里操作错误了吗?还是使用IP部署的7.0.x版本的vCenter无法正常更新证书呢?

    dinghui.org 发布于22:46 - 2023年03月23日

    首先注意查看一下STS是否到期,其次建议检查一下你的vCenter是不是创建了多个网卡,如果创建了的话IPAddress那里就不能选填一定也要填上和VMCA那里同样的IP。最后可以确定的是,使用IP部署的7.0.x版本的vCenter是可以正常更新证书的,不成功可以再次尝试一遍。

      RR 发布于23:00 - 2023年03月24日

      虽然vCenter没创建多个网卡,但是尝试着在IPAddress一栏填上和主机名、VMCA一栏一样的IP后就更新成功了。非常感谢!

shihan 发布于14:13 - 2022年10月13日

您好,

Title:vCenter使用 VMCA 续订证书,显示新的有效期后,VCSA 仍然出现证书状态告警。
Environment:Vcenter 7.0, ESXi 7.0
Issues:通过在证书有效期前,vCenter使用 VMCA 续订证书,提示有新的有效期后,自动重启vCenter 服务,也手动重启vCenter 后,也手动确认为绿色后,每间隔2-3天,在vCenter上仍然提示证书状态告警信息。

Question:请问这个问题如何处理?什么原因?

    dinghui.org 发布于14:34 - 2022年10月13日

    按照文章内给的办法,用命令行去检查,看是不是还有其他不在vCenter控制台上显示的证书即将到期,如果有,参考文档更新一下即可。

回复 shihan 取消回复


The reCAPTCHA verification period has expired. Please reload the page.