Windows 上的 vCenter Server 6.5.x 和 6.7.x 中出现“签名证书无效”错误 (79263)

Windows 上的 vCenter Server 6.5.x 和 6.7.x 中出现“签名证书无效”错误 (79263)

本站代码模板仅供学习交流使用请勿商业运营,严禁从事违法,侵权等任何非法活动,否则后果自负!

在 Windows 上安装了 vCenter Server 6.5.x 和 6.7.x 的环境中,您会遇到以下症状:

  • VMware VirtualCenter Server 服务无法启动。
  • 通过 Web 客户端登录会显示类似以下内容的错误:

HTTP 状态 400 – 错误请求消息 BadRequest, 签名证书无效

  • 通过 Web 客户端登录会显示类似以下内容的错误:503 Service Unavailable (Failed to connect to endpoint: [class Vmacore::Http::NamedPipeServiceSpec:0x000000663918de70] _serverNamespace = / action = Allow _pipeName =\.\pipe\vmware-vpxd-webserver-pipe)
图片[1]-Windows 上的 vCenter Server 6.5.x 和 6.7.x 中出现“签名证书无效”错误 (79263)-咕咚博客
  • 替换 PSC 或 VCSA 上的任何证书都会失败。
  • 使用lsdoctor 工具从查找服务手动添加、修改或删除注册失败。
  • 部署新 PSC 并执行跨域重新指向失败。
  • 在现有 SSO 域上部署新 PSC 作为复制伙伴失败。
  • 通过 Web 客户端登录会显示类似以下内容的错误:

无法连接到 vCenter Single Sign-On 服务器 https:// VC_FQDN /sts/STSService/vsphere.local 或 无法连接到 vCenter Single Sign-On 服务器 https:// VC_FQDN :7444/sts/STSService/vsphere.local 或 [400 ] 向 vCenter Single Sign-On 服务器发送身份验证请求时出错

原因

当安全令牌服务 (STS) 证书过期时,会出现这些问题。这会导致内部服务和解决方案用户无法获取有效令牌,从而无法按预期运行。

注意:当 STS 证书过期时,它会在没有警告的情况下过期。在某些系统上,此过期可能会在初始部署后的两年内发生。

以下是 STS 签名证书预计寿命约为 2 年的场景:

  • 从 U2 或更高版本开始全新安装 PSC/vCenter Server 6.5(仅限 6.5 行)。
  • 全新安装 PSC/vCenter Server 6.5 U2 或任何更高的 6.5 版本并升级到更高版本,包括 6.7 和 7.0。
  • STS 签名证书已使用 PSC 或 vCenter Server 安装后的 certool 进行替换。
  • STS 签名证书已替换为自定义证书(内部/外部 CA 签名)。

风险

该脚本与 VMDIR 的数据库进行交互。在运行脚本之前,同时为 SSO 域中的所有 vCenter Server 和 Platform Service Controller 创建脱机快照。

注意事项

故障确认点

C:\ProgramData\VMware\vCenterSerer\logs\vwmware-vpx

图片[2]-Windows 上的 vCenter Server 6.5.x 和 6.7.x 中出现“签名证书无效”错误 (79263)-咕咚博客

解决

  1. 从本文中下载附件“ fixsts.ps1 ”,并将其上传到C:\Temp(在C:\新建一个Temp文件夹)或任何其他可用文件夹中受影响的 PSC 或具有嵌入式 PSC 的 VC。
  2. 如果 vCenter Server 版本低于 6.7 Update 3g,请从本文下载随附的“ vmware-identity-sso-config67u3g.jar ”,并将其上传到受影响的 PSC 或具有嵌入式 PSC 的 VC(与步骤 1 位于同一文件夹中)。
  3. 以管理员身份打开 Powershell 会话(开始>搜索> Powershell >以管理员身份运行)。
  4. 使用 cd ” path to file “将目录更改为您上传文件的文件夹。
  5. 运行./fixsts.ps1。
  6. 重新启动 SSO 域中所有 vCenter 和/或 PSC 上的服务。
在下C:\Program Files\VMware\vCenter Server\bin执行一下命令

#service-control --stop --all
#service-control --start --all
  1. 使用证书管理器替换您可能拥有的任何其他过期证书,如如何使用 vSphere 证书管理器替换 SSL 证书中所示。

以下一行可以确定 Windows vCenter Server 的其他过期证书,该命令需要在 PowerShell 中执行:

$VCInstallHome = [System.Environment]::ExpandEnvironmentVariables("%VMWARE_CIS_HOME%");foreach ($STORE in & "$VCInstallHome\vmafdd\vecs-cli" 存储列表){写入主机存储:$STORE;& "$ VCInstallHome\vmafdd\vecs-cli" 条目列表 --store $STORE --text | findstr /C:"Alias" /C:"Not After"}

注意: 如果替换了计算机 SSL 或 VMCA 根证书,则需要重新注册第二方解决方案,例如 NSX、SRM 和 vSphere Replication。

注意:如果您在没有网关的情况下使用 HLM(混合链接模式),则需要在执行此过程后将证书从云重新同步到本地。

该脚本将询问 SSO 管理员密码,然后继续重新生成和替换 STS 证书。

这是成功输出的示例

生成新的 STS 证书
状态:成功
使用配置文件:C:\Program Files\VMware\vCenter Server\vmcad\certool.cfg
状态:成功
用户 DN 为:cn=a​​dministrator,cn=users, dc=vsphere,dc=local
已成功删除 cn=TrustedCertChain-1,cn=TrustedCertificateChains,cn=vsphere.local,cn=Tenants,cn=IdentityManager,cn=Services,dc=vsphere,dc=local
已成功删除 cn=TenantCredential-1,cn=vsphere.local,cn=Tenants,cn=IdentityManager,cn=Services,dc=vsphere,dc=local
vCenter Server 版本为 6.7.0.31555 内部版本 16046470
所有 STS 租户分支均已删除!
重新创建 STS 租户
SLF4J:类路径包含多个 SLF4J 绑定。
SLF4J:在 [jar:file:/C:/Program%20Files/VMware/vCenter%20Server/VMware%20Identity%20Services/log4j-slf4j-impl-2.11.2.jar!/org/slf4j/impl/StaticLoggerBinder 中找到绑定.class]
SLF4J:在 [jar:file:/C:/Program%20Files/VMware/vCenter%20Server/VMware%20Identity%20Services/slf4j-log4j12-1.6.4.jar!/org/slf4j/impl/ 中找到绑定StaticLoggerBinder.class]
SLF4J:在 [jar:file:/C:/ProgramData/VMware/vCenterServer/runtime/VMwareSTSService/webapps/ROOT/WEB-INF/lib/log4j-slf4j-impl-2.11.2.jar!/org/slf4j 中找到绑定/impl/StaticLoggerBinder.class]
SLF4J:在 [jar:file:/C:/ProgramData/VMware/vCenterServer/runtime/VMwareSTSService/webapps/ROOT/WEB-INF/lib/slf4j-log4j12-1.7.26.jar 中找到绑定!/org/slf4j/impl/StaticLoggerBinder.class]
SLF4J:请参阅 http://www.slf4j.org/codes.html#multiple_bindings 了解说明。
STS证书替换成功!!,请重新启动服务
由于STS证书已替换,您可能需要重新注册外部解决方案(SRM、NSX等)

© 版权声明
THE END
喜欢就支持一下吧
点赞7 分享
评论 抢沙发
头像
欢迎您留下宝贵的见解!
提交
头像

昵称

取消
昵称表情代码图片

    暂无评论内容