VCSA 7.0更新证书[size=0.8em]王哥哥 ESXi 7.0, 错误解决 [size=1em]2022-06-30 1,870 次浏览 没有评论
今天登录vcsa 无法登录了,显示no healthy upstream 网上查了下,说什么vcsa的服务没起来,还有dns错误,然后看了下服务确实没起来,dns的话我有2台域控,正常不应该有问题,所以忽略,后来研究发现是证书过期了。 以前vcenter老版本证书时间很久,后来我记得应该是6.5的时候证书只有2年了,所以要记得更新证书,没过期的时候可以在vcsa图形界面里点,如果过期了只能通过命令行来更新证书。 参考文档: VCSA 6.5.x,6.7.x 或 vCenter Server 7.0.x 中的”签名证书无效”错误 (76719) https://kb.vmware.com/s/article/76719 如何使用自签名 VMCA 来重新生成 vSphere 6.x 证书 (2112283) https://kb.vmware.com/s/article/2112283?lang=zh_cn 执行kb76719
首先下载kb76719 中的脚本fixsts.sh上传到/tmp目录 cd /tmp chmod +x fixsts.sh ./fixsts.sh 会出现如下的成功字样 重启服务,然后看看能不能登录 service-control –stop –all service-control –start –all 如果还不行继续运行后面的kb2112283的继续更新其他证书 执行kb2112283
我们查询下其他证书过期情况 for i in $(/usr/lib/vmware-vmafd/bin/vecs-cli store list); do echo STORE $i; /usr/lib/vmware-vmafd/bin/vecs-cli entry list –store $i –text | egrep “Alias|Not After”; done
然后会发现还有其他证书也过期了也要继续更新 直接执行下面命令 /usr/lib/vmware-vmca/bin/certificate-manager 选择选项 8 进行操作,重置所有证书 根据提示,在「Hostname」输入VCSA的FQDN,在VMCA Name输入与Hostname相同的值(如果是以ip部署的vc,请输入ip地址)。 注:一开始其他都是默认,比如us,ca之类的,ip也是先默认,然后到了Hostname和VMCA如果你是用了FQDN,那就用你的域名,否则就是输入IP,这2个一定要一致。
执行完成后,会出现下图自动替换证书,并且启动VC,完成之后就可以登录VC了。
|