VCSA6.7证书过期后的处置方法

0x00 环境说明

一台测试的ESXI主机,元旦之后已然发现证书已过期,具体现象:VCenter无法登录,一直提示输入用户名和密码,ESXI主机web页面无法登录。重启VC以后,报故障503错误。

/Action = Allow Pipname = /var/run/vmware/vpxd-webserver-pipe 错误

0x01 最终处理方法

删除VC,重装VC -20分钟即可,快速有效

0x02 最初处理方法

1.重启Management agent --无效

2.重置证书 --卡在85%进度,starting service..... 无效

2.1 修改ESXI主机时间至更早时间,即没有过期的时刻

2.2 开启ESXI主机的ssh,使用ssh工具连接VC主机

shell
#进入shell命令行 更改shell
chsh -s /bin/bash
#查看服务运行状态 service
-control --status #部分服务无法启动 #官方下载证书过期检查脚本 #https://kb.vmware.com/s/article/79248?lang=en_us #注意只有英文页面才能显示右侧的附件下载checksts.py #上传至自定义的目录,运行脚本检查证书是否过期 python checksts.py

2.3 检查过期项

for i in $(/usr/lib/vmware-vmafd/bin/vecs-cli store list); do echo STORE $i; /usr/lib/vmware-vmafd/bin/vecs-cli entry list --store $i --text | egrep "Alias|Not After"; done

 

 2.4 查询服务名称信息

/usr/lib/vmware-vmafd/bin/vmafd-cli get-pnid --server-name localhost

2.5 重置证书

/usr/lib/vmware-vmca/bin/certificate-manager

 

 选择第4项 重置,如果重置失败还可以回滚

根据提示输入所需信息

重点项:

Enter proper value for 'Hostname' [Enter valid Fully Qualified Domain Name(FQDN), For Example : example.domain.com] :这个值要和vCenter Server的主机名一致。

Enter proper value for VMCA 'Name' : (注意:vCenter Server 6.0 U3、6.5 及更高版本将要求提供此信息,您可以在此字段中使用 vCenter Server 的 FQDN。 它将作为 VMCA 根证书的公用名) 没有配置FQDN就是用IP地址

实际测试中,该方法卡至85%进度,失败。

3. 修改时间至过期以前,重启VC,还是可以继续使用的。(不推荐)

4.替换证书,该方法待测试后再补内容

posted @ 2023-01-02 21:05  BlackData  阅读(4021)  评论(1编辑  收藏  举报