[转帖]解决vCenter6.x由于证书过期问题无法登录

https://www.dinghui.org/vcenter-sts-certificate.html#:~:text=%E8%BF%99%E6%97%B6%E5%80%99%EF%BC%8C%E5%8F%AF%E8%83%BD%E5%B0%B1%E6%98%AF%E9%81%87%E5%88%B0%E4%BA%86%E8%AF%81%E4%B9%A6%E5%B7%B2%E8%BF%87%E6%9C%89%E6%95%88%E6%9C%9F%E7%9A%84%E9%97%AE%E9%A2%98%E3%80%82%20vCenter%20%E7%9A%84%E8%AF%81%E4%B9%A6%E5%9C%A8%E5%AE%89%E8%A3%85%E9%83%A8%E7%BD%B2%E6%97%B6%EF%BC%8C%E2%BC%80%E8%88%AC%E6%98%AF%E9%BB%98%E8%AE%A410,%E5%B9%B4%E7%9A%84%EF%BC%8CvCenter%206.5%20%E4%BB%A5%E5%90%8E%E7%9A%84%E9%83%A8%E5%88%86%E7%89%88%E6%9C%AC%E5%AD%98%E5%9C%A8%E8%AF%81%E4%B9%A6%E5%8F%AA%E6%9C%892%20%E5%B9%B4%E6%9C%89%E6%95%88%E6%9C%9F%E7%9A%84%E9%97%AE%E9%A2%98%E3%80%82

近期比较多客户遇到由于证书过期问题导致vCenter突然无法登录，这里做一个汇总。（也适用于vCenter 7.x）

故障现象可能如下：

1、vCenter无法登录，输入了用户名和密码，却一直提示输入用户名和密码。

2、vCenter页面直接显示503 Service Unavailable

这时候，可能就是遇到了证书已过有效期的问题。vCenter 的证书在安装部署时，⼀般是默认10 年的，vCenter 6.5 以后的部分版本存在证书只有2 年有效期的问题。

主要是验证两类证书：一类是STS证书（参考第一和第二），还一类是其他证书（参考第三和第四）。

解决办法：

一、验证是否因为STS证书原因导致。

1、从KB79248 的网页下载一个Python 的小程序checksts.py（文末有下载）
2、上传到vCenter Server 或外部的PSC。上传到VCSA 的/tmp 目录，或者Windows Server 的%TEMP%目录。（如果使用工具无法连接，可以将 shell 更改为 bash shell 来使用 SCP，命令如下：chsh -s/bin/bash root）
3、进到/tmp 目录：cd /tmp
4、运行 python checksts.py

可以看到证书的有效期，如果过期了，继续往下更新证书。

二、更新STS证书。

注意：在进行下列操作之前，将vCenter 的虚拟机做备份并打快照。
1）从KB76719 的网页下载脚本fixsts.sh。（文末有下载）
2）将这个脚本上传到vCenter/PSC Server 上的临时目录/tmp 下。
3）进入目录：cd /tmp
4）将脚本改为可执行模式：chmod +x fixsts.sh
5）运行脚本：./fixsts.sh

可以看到有提示成功的字样，这样STS证书就更新好了。

6）重启vCenter，如果是STS证书到期导致，此时应该能正常登录了。

如果还不能正常登录，继续往下更新其他证书。

备注：如果是Windows版本的vCenter更新证书，需要使用PowerShell script去更新证书，参考以下kb：

https://kb.vmware.com/s/article/79263

三、验证是否因为其他证书原因导致。

7）查询其他证书过期情况

for i in $(/usr/lib/vmware-vmafd/bin/vecs-cli store list); do echo STORE $i; /usr/lib/vmware-vmafd/bin/vecs-cli entry list --store $i --text | egrep "Alias|Not After"; done

如发现其他证书也存在过期情况，继续想办法更新这些证书。

如图，上述有证书就是2023年1月15日到期。

四、更新其他证书

8）参考KB2097936，使用certification Manager 替换其他过期证书。

要启动 vSphere Certificate Manager，请运行如下命令：

• vCenter Server（Windows 版本）：C:\Program Files\VMware\vCenter Server\vmcad\certificate-manager
• vCenter Server Appliance：/usr/lib/vmware-vmca/bin/certificate-manager

运行 certificate-manager 命令时，将为您提供 8 个选项，如屏幕截图中所示。

选择选项 8 进行操作，根据提示，在「Hostname」输入vc的FQDN，在VMCA Name输入与Hostname相同的值（如果是以ip部署的vc，请输入ip地址）。其余按回车保持默认即可。

耐心等待提示100%更新成功后，vCenter就已经可以正常登陆了。

如何规避：

检查当前vCenter 证书到期时间：
1）6.5 及以下的操作方法是：https://vc-ip/psc，然后选择：证书 – 证书管理– 选择证书 – 续订
2）6.7 的操作方法是：主页 – 系统管理 – 证书 – 证书管理 – 选择证书 – 操作 – 续订

本文中提到的两个文件，点此下载checksts.py和fixsts.sh