要包含6.5到7.0的版本VMware服务器虚拟化环境涉及的证书及类型较多在实际更新中会出现各种奇怪的问题有些坑耗费了大量的troubleshooting时间极端情况下一天能看到十多遍如下报错

Reset

/var/log/vmware/vmcad/certificate-manager.log

for

一套vCenter的运行环境主要包含以下一些证书在需要整体证书更新的场景中均需要进行评估

CA根证书颁发机构用于签发其他组件的证书其他证书的有效期不会超过根证书

SSL

Sign-On身份验证和令牌签发更新方式与其他证书不同主机内部证书当主机被vCenter托管后用于vCenter

ESXi

前不久刚为一个纯IP部署的VCSA6.7环境更新了从root密码到所有相关联证书的更新相当具有代表性和说服力一方面6.7和7.0环境应该是目前需要证书更新的“主力军”另一方面6.7在某些操作上因为环境原因会更为复杂更有举例的价值

需要重点做下说明网上及官方文章基本是基于域名部署的vCenter基本没有纯IP部署的环境以下通过Lab环境还原几天前生产环境的一个证书更新案例

原生产环境概述

VCSA使用IP部署于2015年部署使用整10年近期VC内逐步出现STS证书主机证书等相关证书告警root账户已无法正常登录

root账户密码重置

用户基本从没用过root账号当前root账户也理所应当的被锁了因此首先重置root账号

在启动编辑项内consoleblank0

-froot密码的默认修改周期为90天若不希望频繁修改可使用passwd

STS证书更新

vCenter正常启动后使用CLI工具SSH连入vCenter运行shell进入BASH

首先运行chsh

82:BE:A4:FD:2A:4F:D5:00:0B:7E:5A:0C:D8:59:8F:8F:FF:53:D7:A1

will

40:3B:B4:97:41:B8:22:3C:9E:C4:67:03:1B:46:D8:6D:C9:13:3E:AB

will

660063d0-76b8-4013-82f1-c40a54e6d252

Detected

cnTenantCredential-1,cnvsphere.local,cnTenants,cnIdentityManager,cnServices,dcvsphere,dclocaladding

new

cnTrustedCertChain-1,cnTrustedCertificateChains,cnvsphere.local,cnTenants,cnIdentityManager,cnServices,dcvsphere,dclocalReplacement

finished

续订后继续运行check脚本进行检查若信息显示有异常可使用以下命令进行sts证书详细信息的输出及确认期间需要提供LDAP密码即SSO管理员账号凭据

DMN$(/usr/lib/vmware-vmafd/bin/vmafd-cli

get-domain-name

cnadministrator,cnusers,$DMN_DN

cntenantcredential-1,cn$DMN,cnTenants,cnIdentityManager,cnServices,$DMN_DN

userCertificate

此部分是更新证书的核心内容首先使用命令查询当前VMCA内证书的状态应该于WebUI内看到的一致如果还没过期

rootphoton-machine

$(/usr/lib/vmware-vmafd/bin/vecs-cli

store

/usr/lib/vmware-vmafd/bin/vecs-cli

entry

403bb49741b8223c9ec467031b46d86dc9133eabNot

After

02192decad8481f819ffe52cd7c709c8f94b525f

Alias

216edf2bf306d42ba42d17bbea1cd282abcc3da1

STORE

当前的Hostname与PNID在FQDN部署的vCenter场景下这两个值应该一致若不一致需要进行修改参考后文。

纯IP部署环境无强制要求确认vCenter的Host内容在FQDN环境下需要确认是否有当前IP于FQDN的记录若有异常需要进行修改同时不论在任何环境下记录Hosts内出现的所有IP及域名

rootphoton-machine

/usr/lib/vmware-vmafd/bin/vmafd-cli

get-pnid

/usr/lib/vmware-vmca/bin/certificate-manager进入VMCA选择8重新签订所有证书

整体基本Y下一步其中的一些地理信息包括CountryStateLocality建议根据实际情况进行填写IPAddress选项建议同时输入IP及127.0.0.1重要在Hostname中如果是FQDN环境一般输入完整域名即可在IP环境建议输入在Hosts内看到的所有域名及IP记录在很多场景仅使用IP会导致服务启动失败

Note

alhost,photon-machine,10.102.102.55,127.0.0.1Enter

proper

default-site:13689399-d4bf-41d0-a54f-3ead3d35235b

Update

default-site:13689399-d4bf-41d0-a54f-3ead3d35235b;

spec:

default-site:f03dccff-f154-4328-ac48-ae43416b7543

Update

default-site:f03dccff-f154-4328-ac48-ae43416b7543;

spec:

default-site:100d1ab0-000b-48b7-bca8-a40d4bcde98c

Update

default-site:100d1ab0-000b-48b7-bca8-a40d4bcde98c;

spec:

804a3871-c07d-40ff-bd3f-6cd78c2a4df4_com.vmware.vsphere.client

Dont

804a3871-c07d-40ff-bd3f-6cd78c2a4df4_com.vmware.vsphere.client

Get

2ee86ea8-18e1-4b9e-87fb-297a145bb2dc

Update

2ee86ea8-18e1-4b9e-87fb-297a145bb2dc;

spec:

befcd8a6-8724-42c8-8cfa-533acf7973ef

Update

befcd8a6-8724-42c8-8cfa-533acf7973ef;

spec:

a43d5048-cc03-4609-a120-8c48fb51e9c2

Update

a43d5048-cc03-4609-a120-8c48fb51e9c2;

spec:

0bf9f611-8588-4e18-941f-d0714dccdb5e

Update

0bf9f611-8588-4e18-941f-d0714dccdb5e;

spec:

970effb6-6e6f-4a56-93c9-c04566b102d6

Update

970effb6-6e6f-4a56-93c9-c04566b102d6;

spec:

0b99acad-b6c1-451e-a959-c465981b4875

Update

0b99acad-b6c1-451e-a959-c465981b4875;

spec:

c5a9f421-2bb0-4982-9d16-22684bca2c6a

Update

c5a9f421-2bb0-4982-9d16-22684bca2c6a;

spec:

490a8654-46d6-48b0-8cbf-bc8da3da38ca

Update

490a8654-46d6-48b0-8cbf-bc8da3da38ca;

spec:

804a3871-c07d-40ff-bd3f-6cd78c2a4df4

Update

804a3871-c07d-40ff-bd3f-6cd78c2a4df4;

spec:

3157def3-5fd5-4dfd-839a-a3ae7709bbb3

Update

3157def3-5fd5-4dfd-839a-a3ae7709bbb3;

spec:

c0709008-9dd4-4466-8a44-e80eb92856e7

Update

c0709008-9dd4-4466-8a44-e80eb92856e7;

spec:

373ac891-263b-4f55-b209-d30ddfe6787f

Update

373ac891-263b-4f55-b209-d30ddfe6787f;

spec:

5854f351-8ebd-4f8f-9555-f2d6efd14023

Update

5854f351-8ebd-4f8f-9555-f2d6efd14023;

spec:

6f63bae6-2a9c-4769-9b51-39654d23b421

Update

6f63bae6-2a9c-4769-9b51-39654d23b421;

spec:

efa50d73-fef7-48ff-ac76-15f15179bbcd

Update

efa50d73-fef7-48ff-ac76-15f15179bbcd;

spec:

c5a9f421-2bb0-4982-9d16-22684bca2c6a_kv

Update

c5a9f421-2bb0-4982-9d16-22684bca2c6a_kv;

spec:

b95feae0-aacd-47bc-a120-3177a1959d88

Update

b95feae0-aacd-47bc-a120-3177a1959d88;

spec:

58996040-ee24-4e3e-8290-8e39952684f0

Update

58996040-ee24-4e3e-8290-8e39952684f0;

spec:

34eed7ab-33ca-4868-8129-ef91c3827902

Update

34eed7ab-33ca-4868-8129-ef91c3827902;

spec:

305eaace-3f9f-4841-be06-2b6d6c245593

Update

305eaace-3f9f-4841-be06-2b6d6c245593;

spec:

c5a9f421-2bb0-4982-9d16-22684bca2c6a_authz

Update

c5a9f421-2bb0-4982-9d16-22684bca2c6a_authz;

spec:

49d9dde5-8d5a-47ac-8370-f8543ab46c6c

Update

49d9dde5-8d5a-47ac-8370-f8543ab46c6c;

spec:

2eedaf37-6b19-4525-a373-5d0c686478a4

Update

2eedaf37-6b19-4525-a373-5d0c686478a4;

spec:

c049cc57-ec94-49be-a1f1-c4319cd0926b

Update

c049cc57-ec94-49be-a1f1-c4319cd0926b;

spec:

df235693-49bf-4fe5-ad07-ed231f9b2d1d

Update

df235693-49bf-4fe5-ad07-ed231f9b2d1d;

spec:

43bdbdcc-2d98-419c-ac17-77ae815939a4

Update

43bdbdcc-2d98-419c-ac17-77ae815939a4;

spec:

f4390d9f-ebea-431c-aadd-d77864e7827f

Update

f4390d9f-ebea-431c-aadd-d77864e7827f;

spec:

e6c89116-f510-4d0e-843b-e063be5b8a23

Update

e6c89116-f510-4d0e-843b-e063be5b8a23;

spec:

664821f7-b7ef-48ed-803e-4ecd8ff44eae

Update

664821f7-b7ef-48ed-803e-4ecd8ff44eae;

spec:

e6de6c2b-9edf-4145-a43d-0153b1230b62

Update

e6de6c2b-9edf-4145-a43d-0153b1230b62;

spec:

f8b5a505-adcf-4416-a53c-03ae0493c7ea

Update

f8b5a505-adcf-4416-a53c-03ae0493c7ea;

spec:

extension2025-06-13T02:09:53.764Z

Updating

extension2025-06-13T02:09:54.149Z

Updating

进入vCenter管理控制台选中过期主机-配置-证书直接更新进行证书续订

到此已基本完成所有证书更新工作可以看到上面证书的日期已更新原有的证书在下面进行了备份

相关对接系统更新

证书更新后所有更vCenter的对接的相关系统需要重新接受新指纹进行新SSL证书的接受可能涉及的系统包括但不限于

ESXi主机备份产品VeeamNBUCommvault等监控于日志系统:OperationsLogsPrometheus等第三方产品与插件NSXSRMTanzu等其他产品如Horizon安全产品等

Operations里在系统管理-集成内重新测试vCenter连接并接受新证书

其他证书相关问题及注意事项

以下整理了可能会用到的更新证书相关的一些问题若以上仍无法正常更新或存在其他问题可进行参考

TIP若运维窗口时间允许在证书相关操作中没完成一步建议进行服务的重启

service-control

是证书配置中的关键参数直接影响服务通信和身份验证按照文档要求在证书操作前需要确保PNID于Hostname保持一致仅限于FQDN部署环境本例IP环境影响不大

rootphoton-machine

/usr/lib/vmware-vmafd/bin/vmafd-cli

get-pnid

10.102.102.55rootphoton-machine

hostname

/usr/lib/vmware-vmafd/bin/vmafd-cli

set-pnid

10.102.102.55Hostname可直接在vc:5480内的网络设置内进行修改根据以往经验存在失败几率建议直接通过CLI进行更新

rootphoton-machine

/opt/vmware/share/vami/vami_config_netMain

Menu0)

本地数据中的问题。

它能够检测和修复因证书错误、拓扑变更、升级失败或维护操作不当导致的各种问题

如果按照前文操作重新签发证书后还是无法正常运行和启动服务器可尝试使用lsdoctor进行修复

root10

9382ea0488e19f33a27ce096b84e2ca95c8a9ee2creating:

lsdoctor-250331/CHANGELOGinflating:

lsdoctor-250331/READMEinflating:

lsdoctor-250331/config_log.inicreating:

lsdoctor-250331/lib/__init__.pyinflating:

lsdoctor-250331/lib/lsdoctor_defaults.pyinflating:

lsdoctor-250331/lib/lsreport.pyinflating:

lsdoctor-250331/lib/lstool_parse.pyinflating:

lsdoctor-250331/lib/lstool_scan.pyinflating:

lsdoctor-250331/lib/pscha.pyinflating:

lsdoctor-250331/lib/rebuild.pyinflating:

lsdoctor-250331/lib/solutionusers.pyinflating:

lsdoctor-250331/lib/stale.pyinflating:

进入目录使用lsdoctor.py

-l此选项用于检查查找服务可能存在的问题仅检测不会对业务造成影响

root10

/var/log/vmware/lsdoctor2025-06-15T02:31:07

INFO

/var/log/vmware/lsdoctor/10.102.102.55-2025-06-15-023107.json

-t进行修复需要提供SSO管理员凭据

/var/log/vmware/lsdoctor2025-06-15T02:31:31

INFO

https://knowledge.broadcom.com/external/article/320837/using-the-lsdoctor-tool.html%C2%A0

使用vCert工具进行证书更新及维护

在7.0及以上版本VMware推荐使用vCert进行证书管理vCert相当于一个增强版的VMCA管理的维度更为细致同时也提供了VMCA中未包含的一些功能详细使用说明参考KB

https://knowledge.broadcom.com/external/article/385107

在之前所有证书更新后Data-encipherment这张证书并未更新这张证书用于SSL数据加密目前碰到的案例中暂时没发现该证书对业务及管理的影响如需要更新参考以下KB

https://knowledge.broadcom.com/external/article/312152/replacing-an-expired-dataencipherment-ce.html#:~:textThis%20article%20provides%20steps%20to%20regenerate%20certificate%20in,certificate%20signed%20by%20the%20VMware%20Certificate%20Authority%20%28VMCA%29.

完成所有的证书更新后老的证书会以名称“bkp_”备份在VECS中一般不用理会若需要可以使用以上提到的vCert工具进行清理

vCert菜单中选择11进行清除

证书是任何IT系统隐形的基石就像现实中的护照或营业执照证书是服务身份的唯一可信凭证任何证书的运维及管理都需要提高重视程度永远不要假设“默认配置”适合你教程和文档的“标准流程”可能忽略边缘场景任何操作前先确认环境的特殊性及流程的工作逻辑关于证书的任何操作前做好备份及快照善用日志90%的证书问题会在日志中直接暴露原因提升证书的生命周期管理设置足够的日历提醒等