VCSA 6.7证书过期应急处理全指南从SSH时间校准到STS证书修复凌晨三点当监控系统突然告警VCSA管理界面无法访问时作为VMware运维工程师的你可能瞬间清醒——这往往是证书过期的典型症状。不同于普通服务中断证书过期会导致整个Web管理界面完全瘫痪而生产环境中的虚拟机仍在运行。本文将带你用SSH这条生命线完成从系统时间校准到STS证书修复的全流程操作即使没有Web界面也能恢复控制权。1. 紧急诊断与SSH接入准备证书过期最直接的表现是浏览器访问VCSA管理界面时出现此网站的安全证书已过期警告同时5480端口的管理页面也会显示证书失效提示。但真正的危机在于当证书完全过期后所有基于Web的管理功能都将被阻断。此时SSH成为唯一可行的救援通道。启用SSH服务的两种途径如果5480端口的管理界面尚可访问登录https://VCSA_IP:5480导航至访问→SSH登录→启用选项通过vCenter Server Appliance控制台直接访问主机控制台使用root账户登录后执行shell.set --enabled true shell注意部分环境可能因安全策略禁用SSH此时需要联系物理主机管理员协助开启。建议在日常运维中保持SSH访问权限的应急开启状态。连接SSH时推荐使用支持会话保持的工具如WindowsMobaXterm内置SFTP文件传输Mac/Linux原生终端配合以下命令ssh rootVCSA_IP -o ServerAliveInterval602. 系统时间校准的关键操作证书验证的核心机制是系统时间与证书有效期的时间戳比对。将VCSA系统时间临时调整为证书有效期内是恢复访问的临时解决方案。以下是详细步骤2.1 禁用时间同步服务首先需要停止NTP服务防止时间被自动校正timedatectl set-ntp false systemctl stop chronyd # 对于使用chrony的系统验证状态timedatectl status | grep NTP enabled应显示NTP enabled: no2.2 手动设置系统时间使用date命令调整时间示例调整为证书过期前日期date -s 2022-12-22 10:00:00将时间写入硬件时钟防止重启失效hwclock --systohc2.3 服务重启与验证重启所有VCSA服务service-control --start --all检查服务状态service-control --status --all | grep -i running此时应能暂时通过Web界面登录。但请注意这仅是临时解决方案系统时间异常可能导致以下问题日志时间戳混乱备份任务异常与其他系统的时间敏感型交互失败3. 证书续订的完整流程3.1 常规证书续订通过临时恢复的Web界面操作访问https://VCSA_IP:5480导航至证书管理逐个选择证书点击续订确认新有效期通常为2年3.2 STS证书的特殊处理VCSA 6.7中的STSSecure Token Service证书需要命令行处理这是许多工程师忽略的关键步骤。操作流程获取官方修复脚本wget https://kb.vmware.com/s/article/76719 -O /tmp/fixsts.sh若直接下载失败常见于严格隔离环境需本地下载后上传遇到SCP/SFTP连接问题时可尝试chsh -s /bin/bash使用以下命令校验文件完整性shasum -a 256 /tmp/fixsts.sh正确校验值应为d7e8b...完整值参考VMware KB执行修复chmod x /tmp/fixsts.sh /tmp/fixsts.sh脚本运行时会要求输入root密码新证书的有效期建议保持默认典型成功输出示例STS certificate successfully renewed Expiration date: Dec 22 2024 23:59:59 GMT4. 后期验证与深度防护4.1 验证步骤检查所有证书有效期/usr/lib/vmware-vmafd/bin/vecs-cli entry list --store MACHINE_SSL_CERT \ | grep -A 3 Alias测试SSO功能curl -k https://localhost/rest/com/vmware/cis/session \ -u administratorvsphere.local监控日志是否有证书相关错误journalctl -u vmware-stsd -f4.2 长期防护策略为避免再次发生证书过期事故建议建立以下机制证书监控方案对比方案类型实施方法预警时间复杂度vCenter原生告警配置证书过期告警30天默认低脚本监控定期运行check-certificate.py自定义中第三方监控集成Zabbix/Prometheus插件多级预警高推荐自动化检查脚本示例#!/usr/bin/env python3 from OpenSSL import crypto, SSL import datetime cert crypto.load_certificate( crypto.FILETYPE_PEM, open(/etc/vmware-vpx/ssl/rui.crt).read() ) exp_date datetime.datetime.strptime( cert.get_notAfter().decode(ascii), %Y%m%d%H%M%SZ ) remaining (exp_date - datetime.datetime.now()).days if remaining 30: print(f警报证书将在{remaining}天后过期)5. 高级故障排除场景5.1 VSAN环境特殊处理在VSAN集群中证书更新后可能遇到性能服务异常表现为vSAN性能图表无法加载容量监控数据缺失修复命令序列/usr/lib/vmware-vsan-health-status/health-status.py --refresh systemctl restart vsan-health systemctl restart vpxd5.2 时间同步恢复最佳实践完成证书修复后必须恢复正确的时间同步重新启用NTPtimedatectl set-ntp true强制立即同步chronyc makestep验证时间偏移量chronyc tracking | grep Last offset建议在维护窗口期操作避免时间跳变影响业务。对于关键系统可采用分阶段调整策略首次调整快速回到证书有效期内后续调整每小时逐步接近真实时间最终同步启用NTP微调掌握这些应急技能的同时更推荐建立规范的证书生命周期管理流程。毕竟最好的故障处理是预防故障发生。
VCSA 6.7证书过期别慌!手把手教你通过SSH修改系统时间恢复登录(附fixsts.sh脚本下载)
VCSA 6.7证书过期应急处理全指南从SSH时间校准到STS证书修复凌晨三点当监控系统突然告警VCSA管理界面无法访问时作为VMware运维工程师的你可能瞬间清醒——这往往是证书过期的典型症状。不同于普通服务中断证书过期会导致整个Web管理界面完全瘫痪而生产环境中的虚拟机仍在运行。本文将带你用SSH这条生命线完成从系统时间校准到STS证书修复的全流程操作即使没有Web界面也能恢复控制权。1. 紧急诊断与SSH接入准备证书过期最直接的表现是浏览器访问VCSA管理界面时出现此网站的安全证书已过期警告同时5480端口的管理页面也会显示证书失效提示。但真正的危机在于当证书完全过期后所有基于Web的管理功能都将被阻断。此时SSH成为唯一可行的救援通道。启用SSH服务的两种途径如果5480端口的管理界面尚可访问登录https://VCSA_IP:5480导航至访问→SSH登录→启用选项通过vCenter Server Appliance控制台直接访问主机控制台使用root账户登录后执行shell.set --enabled true shell注意部分环境可能因安全策略禁用SSH此时需要联系物理主机管理员协助开启。建议在日常运维中保持SSH访问权限的应急开启状态。连接SSH时推荐使用支持会话保持的工具如WindowsMobaXterm内置SFTP文件传输Mac/Linux原生终端配合以下命令ssh rootVCSA_IP -o ServerAliveInterval602. 系统时间校准的关键操作证书验证的核心机制是系统时间与证书有效期的时间戳比对。将VCSA系统时间临时调整为证书有效期内是恢复访问的临时解决方案。以下是详细步骤2.1 禁用时间同步服务首先需要停止NTP服务防止时间被自动校正timedatectl set-ntp false systemctl stop chronyd # 对于使用chrony的系统验证状态timedatectl status | grep NTP enabled应显示NTP enabled: no2.2 手动设置系统时间使用date命令调整时间示例调整为证书过期前日期date -s 2022-12-22 10:00:00将时间写入硬件时钟防止重启失效hwclock --systohc2.3 服务重启与验证重启所有VCSA服务service-control --start --all检查服务状态service-control --status --all | grep -i running此时应能暂时通过Web界面登录。但请注意这仅是临时解决方案系统时间异常可能导致以下问题日志时间戳混乱备份任务异常与其他系统的时间敏感型交互失败3. 证书续订的完整流程3.1 常规证书续订通过临时恢复的Web界面操作访问https://VCSA_IP:5480导航至证书管理逐个选择证书点击续订确认新有效期通常为2年3.2 STS证书的特殊处理VCSA 6.7中的STSSecure Token Service证书需要命令行处理这是许多工程师忽略的关键步骤。操作流程获取官方修复脚本wget https://kb.vmware.com/s/article/76719 -O /tmp/fixsts.sh若直接下载失败常见于严格隔离环境需本地下载后上传遇到SCP/SFTP连接问题时可尝试chsh -s /bin/bash使用以下命令校验文件完整性shasum -a 256 /tmp/fixsts.sh正确校验值应为d7e8b...完整值参考VMware KB执行修复chmod x /tmp/fixsts.sh /tmp/fixsts.sh脚本运行时会要求输入root密码新证书的有效期建议保持默认典型成功输出示例STS certificate successfully renewed Expiration date: Dec 22 2024 23:59:59 GMT4. 后期验证与深度防护4.1 验证步骤检查所有证书有效期/usr/lib/vmware-vmafd/bin/vecs-cli entry list --store MACHINE_SSL_CERT \ | grep -A 3 Alias测试SSO功能curl -k https://localhost/rest/com/vmware/cis/session \ -u administratorvsphere.local监控日志是否有证书相关错误journalctl -u vmware-stsd -f4.2 长期防护策略为避免再次发生证书过期事故建议建立以下机制证书监控方案对比方案类型实施方法预警时间复杂度vCenter原生告警配置证书过期告警30天默认低脚本监控定期运行check-certificate.py自定义中第三方监控集成Zabbix/Prometheus插件多级预警高推荐自动化检查脚本示例#!/usr/bin/env python3 from OpenSSL import crypto, SSL import datetime cert crypto.load_certificate( crypto.FILETYPE_PEM, open(/etc/vmware-vpx/ssl/rui.crt).read() ) exp_date datetime.datetime.strptime( cert.get_notAfter().decode(ascii), %Y%m%d%H%M%SZ ) remaining (exp_date - datetime.datetime.now()).days if remaining 30: print(f警报证书将在{remaining}天后过期)5. 高级故障排除场景5.1 VSAN环境特殊处理在VSAN集群中证书更新后可能遇到性能服务异常表现为vSAN性能图表无法加载容量监控数据缺失修复命令序列/usr/lib/vmware-vsan-health-status/health-status.py --refresh systemctl restart vsan-health systemctl restart vpxd5.2 时间同步恢复最佳实践完成证书修复后必须恢复正确的时间同步重新启用NTPtimedatectl set-ntp true强制立即同步chronyc makestep验证时间偏移量chronyc tracking | grep Last offset建议在维护窗口期操作避免时间跳变影响业务。对于关键系统可采用分阶段调整策略首次调整快速回到证书有效期内后续调整每小时逐步接近真实时间最终同步启用NTP微调掌握这些应急技能的同时更推荐建立规范的证书生命周期管理流程。毕竟最好的故障处理是预防故障发生。
