VCSA6.7证书过期后的处置方法

0x00 环境说明

一台测试的ESXI主机，元旦之后已然发现证书已过期，具体现象：VCenter无法登录，一直提示输入用户名和密码，ESXI主机web页面无法登录。重启VC以后，报故障503错误。

/Action = Allow Pipname = /var/run/vmware/vpxd-webserver-pipe 错误

0x01 最终处理方法

删除VC，重装VC -20分钟即可，快速有效

0x02 最初处理方法

1.重启Management agent --无效

2.重置证书 --卡在85%进度，starting service..... 无效

2.1 修改ESXI主机时间至更早时间，即没有过期的时刻

2.2 开启ESXI主机的ssh，使用ssh工具连接VC主机

shell
#进入shell命令行 更改shell
chsh -s /bin/bash
#查看服务运行状态
service-control --status
#部分服务无法启动
#官方下载证书过期检查脚本
#https://kb.vmware.com/s/article/79248?lang=en_us
#注意只有英文页面才能显示右侧的附件下载checksts.py
#上传至自定义的目录，运行脚本检查证书是否过期
python checksts.py

2.3 检查过期项

for i in $(/usr/lib/vmware-vmafd/bin/vecs-cli store list); do echo STORE $i; /usr/lib/vmware-vmafd/bin/vecs-cli entry list --store $i --text | egrep "Alias|Not After"; done

 

 2.4 查询服务名称信息

/usr/lib/vmware-vmafd/bin/vmafd-cli get-pnid --server-name localhost

2.5 重置证书

/usr/lib/vmware-vmca/bin/certificate-manager

 

 选择第4项 重置，如果重置失败还可以回滚

根据提示输入所需信息

重点项：

Enter proper value for 'Hostname' [Enter valid Fully Qualified Domain Name(FQDN), For Example : example.domain.com] :这个值要和vCenter Server的主机名一致。

Enter proper value for VMCA 'Name' : (注意：vCenter Server 6.0 U3、6.5 及更高版本将要求提供此信息，您可以在此字段中使用 vCenter Server 的 FQDN。 它将作为 VMCA 根证书的公用名) 没有配置FQDN就是用IP地址

实际测试中，该方法卡至85%进度，失败。

3. 修改时间至过期以前，重启VC，还是可以继续使用的。（不推荐）

4.替换证书，该方法待测试后再补内容