登入vCenter显示503,证书过期解决办法_fixsts.sh
赞
踩
登入vCenter显示503
原因:当安全令牌服务 (STS) 证书已过期时,会出现这些问题。这会导致内部服务和解决方案用户无法获取有效令牌,从而导致无法按预期运行(证书两年后就会过期)。
解决办法: STS证书更换(适用6.5以上系列和7系列)
1、 VCSA环境
查看证书过期时间:
cat /var/log/vmware/vpxd-svcs/vpxd-svcs.log
- 1
问题解决:
建议进行以下操作前,对VC进行快照或其他可以回滚环境
fixsts.sh下载连接:https://pan.baidu.com/s/1rnn11b0UyLI3ZsXn80ekFw 提取码:ykdk
fixsts.sh官网下载链接: https://kb.vmware.com/s/article/76719
上传 fixsts.sh脚本至/tmp目录
如果在上传的时候被拒绝可以在VC里面执行以下命令
chsh -s /bin/bash
- 1
切换到tmp目录下
cd /tmp
- 1
给脚本添加执行权限
chmod +x fixsts.sh
- 1
执行脚本
./fixsts.sh
- 1
使用以下命令重启SSO域中所有vCenters和/或PSCs上的服务(如果环境允许可以重启VC)
service-control --stop --all
service-control --start --all
- 1
- 2
注意:如果有其他过期的证书,比如SSL证书,则重启服务将失败,VC可能还是会无法登入。
替换其他证书:
运行以下命令
/usr/lib/vmware-vmca/bin/certificate-manager
- 1
选项信息
1表示:将计算机 SSL 证书替换为自定义 CA 证书计算机 SSL 证书提供了一个子选项,用于为计算机 SSL证书生成证书签名请求和密钥。
2表示:将 VMCA 根证书替换为自定义 CA 签名证书,并替换所有证书。此选项提供了一个子选项,用于为VMCA 根签名证书生成证书签名请求和密钥。
3表示:将计算机 SSL 证书替换为 VMCA 生成的证书
4表示:重新生成新的默认 VMCA Root 证书,并替换所有证书
5表示:将解决方案用户证书替换为自定义 CA 证书
6表示:将解决方案用户证书替换为 VMCA 生成的证书
7表示:将解决方案用户证书替换为 VMCA 生成的证书
8表示:重置所有证书
这边选择8重置所有的证书(结合实际情况选择)
输入sso密码 然后按Y 再按Y
然后会有一系列的选项让你配置 certool.cfg 文件
这里注意IP填写的VC的IP
- 1
- 2
- 3
- 4
所有证书替换完后会,再次访问VC发现不会报错了
这边如果是选择6
出现报错:ERROR: The MACHINE SSL CERT certificate is expired
如果出现上图所示的报错,就要根据报错提示选择8选项进行所有证书替换了。
