今天在检查客户的虚拟化环境的时候发现vcenter出现如下告警

STS签名证书过期告警

下面详细介绍处理的步骤。客户的环境是vCenter6.5U3-VCSA部署。

触发原因

在以下情况下，STS 签名证书的预期生命周期约为 2 年。

注意：

· 并非所有 6.5 U2 或更高版本，仅限 6.5 版产品线上的 6.5 U2 或更高版本。

· 从 U2 或更高版本（仅限 6.5 产品线）开始，全新安装 PSC/vCenter Server 6.5。

· 全新安装 PSC/vCenter Server 6.5 U2 或任何更高的 6.5 版本，并升级到更高版本（包括 6.7 和 7.0）。

· 安装 PSC 或 vCenter Server 后，使用 certool 替换了 STS 签名证书。

· STS 签名证书替换为了自定义证书（内部/外部 CA 签名证书）。

另外在 vCenter Server 的 6.5U3k、6.7 U3j 或 7.0 U1 版本中，当 vCenter Single Sign-On Security Token Service (STS) 签名证书临近过期时，您会每周收到一次通知。通知从 STS 证书过期前 90 天开始发送，并在过期前的最后一周变为每天发送一次。

步骤1确定STS证书有效期：

vcenter 6.5及6.7无法从h5页面查看,可以通过flash界面或者pcs路径查看

通过vcenter的flash控制台查看

通过psc查看https://vcip/psc路径

2、通过脚本查看

1. 下载本文所附的 checksts.py 脚本。

2. 将随附的脚本上载到 VCSA 或外部 PSC。 例如，/tmp

3. 注意：您可以使用 WinSCP 将脚本上载到 VCSA。有关其他信息，请参见 Error when uploading files to vCenter Server Appliance using WinSCP (2107727)。如果通过 WinSCP 连接到 VCSA 时收到错误，请运行以下命令： chsh -s /bin/bash root（如以上链接中所述）。

4. 成功将脚本上载到 VCSA 后，将目录更改为 /tmp。例如： cd /tmp运行 python checksts.py。

更新STS证书

创建offline快照

关闭虚拟机，点击创建快照，用来证书出现问题后的回退操作。

确定STS证书有效期

Ssh登陆vc的后台界面

root@photon-machine [ /tmp ]# python checksts.py

执行STS证书更新

root@photon-machine [ /tmp ]# chmod +x fixsts.sh

root@photon-machine [ /tmp ]# ./fixsts.sh

停止vc服务

root@photon-machine [ /tmp ]# service-control --stop –all

启动vc服务

root@photon-machine [ /tmp ]# service-control --start –all

再次查看证书状态

root@photon-machine [ ~ ]# service-control --status

Running:

applmgmt lwsmd pschealth vmafdd vmcad vmdird vmdnsd vmonapi vmware-cis-license vmware-cm vmware-content-library vmware-eam vmware-perfcharts vmware-psc-client vmware-rhttpproxy vmware-sca vmware-sps vmware-statsmonitor vmware-sts-idmd vmware-stsd vmware-vapi-endpoint vmware-vmon vmware-vpostgres vmware-vpxd vmware-vpxd-svcs vmware-vsan-health vmware-vsm vsphere-client vsphere-ui

Stopped:

vmcam vmware-imagebuilder vmware-mbcs vmware-netdumper vmware-rbd-watchdog vmware-updatemgr vmware-vcha

再次查看sts证书状态

root@photon-machine [ /tmp ]# python checksts.py

查看其他证书状态，均在有效期内。

for i in $(/usr/lib/vmware-vmafd/bin/vecs-cli store list); do echo STORE $i; sudo /usr/lib/vmware-vmafd/bin/vecs-cli entry list --store $i --text | egrep "Alias|Not After"; done

登陆web页面进行sts证书确认，时间已经更新为2024年10月。

手动重置告警为绿色，后续操作观察一周后，如果没有异常可以删除快照。

参考KB

Signing certificate is not valid" error in VCSA 6.5.x/6.7.x and vCenter Server 7.0.x (76719)

https://kb.vmware.com/s/article/79248?lang=zh_cn检查 vCenter Server 上 STS 证书的过期日期 (79248)