vCenter证书过期问题
VC的告警截图:
解决思路: 查看证书是否到期,更新证书就好了
查看证书:
当前用户的vCenter版本是7.0.0.10300
在系统管理里面的证书管理中能看到相关证书的到期日期,但是这个版本的vCenter能看到的证书就两个,太少了(每个版本的vCenter能看到的证书还不太一样~~)
而且没有STS证书的到期时间,其他的证书也看不见
参考VMware官方告警KB KB中有一句话很重要:STS/签名证书未存储在 VECS 存储中,因此未包含在 vCenter Server 警报中,请按照上述步骤验证此证书,然后再继续替换 VECS 存储中存储的其他证书,如果 STS 证书已过期,则这些证书的替换将失败。看证书先看STS证书,这东西最坑,当STS证书未过期之后再查看其他证书过期问题,曾经有一次先更新的其他证书再更新的STS证书,导致了vCenter无论如何重启服务都有部分服务崩溃起不来的问题,最后只能重新搭建vCenter
关于查看更新STS证书和其他证书,建议根据丁辉大哥的文章更新:
解决vCenter6.x由于证书过期问题无法登录 里面有相应的下载链接,在上传插件的时候可能会遇到第一次上传vCenter的问题,可以参考VMwareKB
另一点问题要注意的是:在更新其他证书时候一般选项8更新所有证书,需要填写相关的信息我这里检查的STS截图:还有八年到期(新版本一般都是十年,曾经的6.5是两年坑)
更新了其他证书的截图:我发现有点坑的是把我以前2030到期的许可也给我变成了2024年到期,有点坑,特别注意WCP证书,有过一次选项8全部更新以后WCP还是过期,重复再来一次才更新正常
原以为结束了,但是发现vCenter上的告警还会出现,去查资料发现应该是那个backup_store导致的,参考VMwareKB
这就有点NC了,按照KB中下载了工具执行了命令后发现不行,告警还是出来
那就只能想办法删除这个备份的过期告警了!
其实在最早的VMwareKB链接中最下面告诉了怎么删除,但是没注意!
/usr/lib/vmware-vmafd/bin/vecs-cli entry delete --store BACKUP_STORE --alias bkp___MACHINE_CERT -y
再狠一点就把那个备份存储也删除了:
/usr/lib/vmware-vmafd/bin/vecs-cli store delete --name BACKUP_STORE -y
再查看一下:
/usr/lib/vmware-vmafd/bin/vecs-cli store list
然后再重置告警绿色,再观察24小时看出不出来
上面的都是vCenter加DNS了,正反向解析好使的情况!
因为个人习惯我一般不会创建DNS的vCenter,面对SSL证书过期的问题更新完证书总是会卡在85%服务崩溃起不来,重建也不是办法~~经过多次实验发现还是有方法的!
有几个前提: 1.无DNS创建的vCenter 2.在创建vCenter的时候或者后期现改的vCenter的hosts文件中要添加比如192.168.10.1 localhost
然后/usr/lib/vmware-vmca/bin/certificate-manager选择8全部更新 重点来了! 前面一路默认加输入administrator@vsphere.local的密码 到IPAddress的一个选填选项—>输入192.168.10.1 到hostname的选项中—>输入192.168.10.1 到VMCA Name中—>输入VMCA
然后就可以100%了不会卡在85%服务起不来了 记得关闭浏览器再打开浏览器登录vCenter 登录5480查看服务中自动的选项是不是都起来了~~
后续:
最近又做了几个证书要到期的vCenter,发现VMCA的名字不是非要跟FQDN或者主机名一致的,可以的话看一下原有的样子,比如:
按照这里面颁发者名称CA和原有的公用名称填写信息就好,更新完以后:
另外细节注意:
vCenter如果做了HA配置,需要先删除,vCenter的HA状态不能更新证书,参考VMware文档
如果关联了horizon,记得登录horizon管理界面在vCenter连接那里重新编辑下会提示证书改变,重新验证就好了!如果没提示,关闭浏览器再打开horizon界面查看vCenter重新验证。
小结:今天去巡检一个客户,特意上去查看证书,SSL等和STS证书全部都是十年过期。。。这个6.7版本是真好啊!7.0的两年有点坑~
