当前位置:首页 > 攻略 >

k宝证书过期了怎么办(vCenter6.5-STS签名证书过期告警处理)

时间:2022-11-25 11:44:01作者:大神

今天在检查客户的虚拟化环境的时候发现vcenter出现如下告警

k宝证书过期了怎么办(vCenter6.5-STS签名证书过期告警处理)

STS签名证书过期告警

下面详细介绍处理的步骤。客户的环境是vCenter6.5U3-VCSA部署。

触发原因

在以下情况下,STS 签名证书的预期生命周期约为 2 年。

注意:

· 并非所有 6.5 U2 或更高版本,仅限 6.5 版产品线上的 6.5 U2 或更高版本。

· 从 U2 或更高版本(仅限 6.5 产品线)开始,全新安装 PSC/vCenter Server 6.5。

· 全新安装 PSC/vCenter Server 6.5 U2 或任何更高的 6.5 版本,并升级到更高版本(包括 6.7 和 7.0)。

· 安装 PSC 或 vCenter Server 后,使用 certool 替换了 STS 签名证书。

· STS 签名证书替换为了自定义证书(内部/外部 CA 签名证书)。

另外在 vCenter Server 的 6.5U3k6.7 U3j7.0 U1 版本中,当 vCenter Single Sign-On Security Token Service (STS) 签名证书临近过期时,您会每周收到一次通知。通知从 STS 证书过期前 90 天开始发送,并在过期前的最后一周变为每天发送一次。

步骤1确定STS证书有效期:

vcenter 6.5及6.7无法从h5页面查看,可以通过flash界面或者pcs路径查看

通过vcenter的flash控制台查看

k宝证书过期了怎么办(vCenter6.5-STS签名证书过期告警处理)

通过psc查看https://vcip/psc路径

k宝证书过期了怎么办(vCenter6.5-STS签名证书过期告警处理)

2、通过脚本查看

1. 下载本文所附的 checksts.py 脚本。

2. 将随附的脚本上载到 VCSA 或外部 PSC。 例如,/tmp

3. 注意:您可以使用 WinSCP 将脚本上载到 VCSA。有关其他信息,请参见 Error when uploading files to vCenter Server Appliance using WinSCP (2107727)。如果通过 WinSCP 连接到 VCSA 时收到错误,请运行以下命令: chsh -s /bin/bash root(如以上链接中所述)。

4. 成功将脚本上载到 VCSA 后,将目录更改为 /tmp。例如: cd /tmp运行 python checksts.py。

k宝证书过期了怎么办(vCenter6.5-STS签名证书过期告警处理)

更新STS证书

创建offline快照

关闭虚拟机,点击创建快照,用来证书出现问题后的回退操作。

确定STS证书有效期

Ssh登陆vc的后台界面

root@photon-machine [ /tmp ]# python checksts.py

k宝证书过期了怎么办(vCenter6.5-STS签名证书过期告警处理)

执行STS证书更新

root@photon-machine [ /tmp ]# chmod x fixsts.sh

root@photon-machine [ /tmp ]# ./fixsts.sh

k宝证书过期了怎么办(vCenter6.5-STS签名证书过期告警处理)

停止vc服务

root@photon-machine [ /tmp ]# service-control --stop –all

启动vc服务

root@photon-machine [ /tmp ]# service-control --start –all

再次查看证书状态

root@photon-machine [ ~ ]# service-control --status

Running:

applmgmt lwsmd pschealth vmafdd vmcad vmdird vmdnsd vmonapi vmware-cis-license vmware-cm vmware-content-library vmware-eam vmware-perfcharts vmware-psc-client vmware-rhttpproxy vmware-sca vmware-sps vmware-statsmonitor vmware-sts-idmd vmware-stsd vmware-vapi-endpoint vmware-vmon vmware-vpostgres vmware-vpxd vmware-vpxd-svcs vmware-vsan-health vmware-vsm vsphere-client vsphere-ui

Stopped:

vmcam vmware-imagebuilder vmware-mbcs vmware-netdumper vmware-rbd-watchdog vmware-updatemgr vmware-vcha

再次查看sts证书状态

root@photon-machine [ /tmp ]# python checksts.py

k宝证书过期了怎么办(vCenter6.5-STS签名证书过期告警处理)

查看其他证书状态,均在有效期内。

for i in $(/usr/lib/vmware-vmafd/bin/vecs-cli store list); do echo STORE $i; sudo /usr/lib/vmware-vmafd/bin/vecs-cli entry list --store $i --text | egrep "Alias|Not After"; done

k宝证书过期了怎么办(vCenter6.5-STS签名证书过期告警处理)

登陆web页面进行sts证书确认,时间已经更新为2024年10月。

k宝证书过期了怎么办(vCenter6.5-STS签名证书过期告警处理)

手动重置告警为绿色,后续操作观察一周后,如果没有异常可以删除快照。

参考KB

Signing certificate is not valid" error in VCSA 6.5.x/6.7.x and vCenter Server 7.0.x (76719)


https://kb.vmware/s/article/79248?lang=zh_cn检查 vCenter Server 上 STS 证书的过期日期 (79248)

爱装点号

为知识问答而生,为广大问答爱好者提供一个问答交流的平台!!!

  • 316文章
  • 2687阅读
  • 1481关注

攻略排行