近期比较多客户遇到由于证书过期问题导致vCenter突然无法登录，这里做一个汇总。（也适用于vCenter 7.x）

故障现象可能如下：

1、vCenter无法登录，输入了用户名和密码，却一直提示输入用户名和密码。

2、vCenter页面直接显示503 Service Unavailable

这时候，可能就是遇到了证书已过有效期的问题。vCenter 的证书在安装部署时，⼀般是默认10 年的，vCenter 6.5 以后的部分版本存在证书只有2 年有效期的问题。

主要是验证两类证书：一类是STS证书（参考第一和第二），还一类是其他证书（参考第三和第四）。

解决办法：

一、验证是否因为STS证书原因导致。

1、从KB79248 的网页下载一个Python 的小程序checksts.py（文末有下载）
2、上传到vCenter Server 或外部的PSC。上传到VCSA 的/tmp 目录，或者Windows Server 的%TEMP%目录。（如果使用工具无法连接，可以将 shell 更改为 bash shell 来使用 SCP，命令如下：chsh -s/bin/bash root）
3、进到/tmp 目录：cd /tmp
4、运行 python checksts.py

可以看到证书的有效期，如果过期了，继续往下更新证书。

二、更新STS证书。

注意：在进行下列操作之前，将vCenter 的虚拟机做备份并打快照。
1）从KB76719 的网页下载脚本fixsts.sh。（文末有下载）
2）将这个脚本上传到vCenter/PSC Server 上的临时目录/tmp 下。
3）进入目录：cd /tmp
4）将脚本改为可执行模式：chmod +x fixsts.sh
5）运行脚本：./fixsts.sh

可以看到有提示成功的字样，这样STS证书就更新好了。

6）重启vCenter，如果是STS证书到期导致，此时应该能正常登录了。

如果还不能正常登录，继续往下更新其他证书。

备注：如果是Windows版本的vCenter更新证书，需要使用PowerShell script去更新证书，参考以下kb：

https://kb.vmware.com/s/article/79263

三、验证是否因为其他证书原因导致。

7）查询其他证书过期情况

for i in $(/usr/lib/vmware-vmafd/bin/vecs-cli store list); do echo STORE $i; /usr/lib/vmware-vmafd/bin/vecs-cli entry list --store $i --text | egrep "Alias|Not After"; done

如发现其他证书也存在过期情况，继续想办法更新这些证书。

四、更新其他证书

8）参考KB2097936，使用certification Manager 替换其他过期证书。

要启动 vSphere Certificate Manager，请运行如下命令：

• vCenter Server（Windows 版本）：C:\Program Files\VMware\vCenter Server\vmcad\certificate-manager
• vCenter Server Appliance：/usr/lib/vmware-vmca/bin/certificate-manager

运行 certificate-manager 命令时，将为您提供 8 个选项，如屏幕截图中所示。

选择选项 8 进行操作，根据提示，在「Hostname」输入vc的FQDN，在VMCA Name输入与Hostname相同的值（如果是以ip部署的vc，请输入ip地址）。其余按回车保持默认即可。

耐心等待提示100%更新成功后，vCenter就已经可以正常登陆了。

如何规避：

检查当前vCenter 证书到期时间：
1）6.5 及以下的操作方法是：https://vc-ip/psc，然后选择：证书 – 证书管理– 选择证书 – 续订
2）6.7 的操作方法是：主页 – 系统管理 – 证书 – 证书管理 – 选择证书 – 操作 – 续订

本文中提到的两个文件，点此下载checksts.py和fixsts.sh