一台测试的ESXI主机,元旦之后已然发现证书已过期,具体现象:VCenter无法登录,一直提示输入用户名和密码,ESXI主机web页面无法登录。重启VC以后,报故障503错误。
/Action = Allow Pipname = /var/run/vmware/vpxd-webserver-pipe 错误
删除VC,重装VC -20分钟即可,快速有效
1.重启Management agent --无效
2.重置证书 --卡在85%进度,starting service..... 无效
2.1 修改ESXI主机时间至更早时间,即没有过期的时刻
2.2 开启ESXI主机的ssh,使用ssh工具连接VC主机
shell #进入shell命令行 更改shell
chsh -s /bin/bash
#查看服务运行状态 service-control --status #部分服务无法启动 #官方下载证书过期检查脚本 #https://kb.vmware.com/s/article/79248?lang=en_us #注意只有英文页面才能显示右侧的附件下载checksts.py #上传至自定义的目录,运行脚本检查证书是否过期 python checksts.py
2.3 检查过期项
for i in $(/usr/lib/vmware-vmafd/bin/vecs-cli store list); do echo STORE $i; /usr/lib/vmware-vmafd/bin/vecs-cli entry list --store $i --text | egrep "Alias|Not After"; done
2.4 查询服务名称信息
/usr/lib/vmware-vmafd/bin/vmafd-cli get-pnid --server-name localhost
2.5 重置证书
/usr/lib/vmware-vmca/bin/certificate-manager
选择第4项 重置,如果重置失败还可以回滚
根据提示输入所需信息
重点项:
Enter proper value for 'Hostname' [Enter valid Fully Qualified Domain Name(FQDN), For Example : example.domain.com] :这个值要和vCenter Server的主机名一致。
Enter proper value for VMCA 'Name' : (注意:vCenter Server 6.0 U3、6.5 及更高版本将要求提供此信息,您可以在此字段中使用 vCenter Server 的 FQDN。 它将作为 VMCA 根证书的公用名) 没有配置FQDN就是用IP地址
实际测试中,该方法卡至85%进度,失败。
3. 修改时间至过期以前,重启VC,还是可以继续使用的。(不推荐)
4.替换证书,该方法待测试后再补内容